堆棧內存溢出
  簡體   English   中英

AWS API 網關 REST API 是否沒有設置禁用 CloudFormation 模板中的 execute-api 端點?

[英]Is there no setting for AWS API Gateway REST API to disable execute-api endpoint in CloudFormation template?

 原文  2021-01-08 12:03:14       amazon-web-services/ rest/ amazon-cloudformation/ aws-api-gateway/ serverless-framework

問題描述

我已經使用 CloudFormation 模板設置了 API 網關(v1,不是 v2) REST API 資源。 最近我注意到還創建了默認的 execute-api 端點,我可以在設置中將其禁用。

在此處輸入圖像描述 這個 API 的類型是AWS::ApiGateway::RestApi

當然,我希望通過模板完成此操作,所以問題是:是否可以在 CloudFormation 模板中定義此設置,而不是必須在 AWS 控制台中手動單擊? 此選項用於 CloudFormation 模板中的 APIGateway V2 API 資源 ( AWS::ApiGatewayV2::Api ) 但不適用於 APIGateway V1 REST API 資源 ( AWS::ApiGateway::RestApi ),即使它可以手動更改APIGateway V1 REST API 在控制台中。

對於AWS::ApiGateway::RestApi ,還有一種CLI 方法可以執行此操作。

以下是我用來搜索此設置的一些鏈接:
AWS::ApiGatewayV2::API
AWS::ApiGateway::RestApi
通過 CLI 禁用默認的 api-execute 端點

5 個解決方案

解決方案1
 3 已采納  2021-04-30 06:13:44

AWS::ApiGateway::RestApi cloudformation: DisableExecuteApiEndpoint最近添加了對禁用默認執行 API 端點的支持

MyRestApi:
  Type: 'AWS::ApiGateway::RestApi'
  Properties:
    DisableExecuteApiEndpoint: true

解決方案2
 1  2021-01-08 22:30:04

您可以通過一個簡單的自定義資源禁用它。 下面是一個這樣的完整工作模板的例子:


Resources:

  MyRestApi:
    Type: 'AWS::ApiGateway::RestApi'
    Properties:
      Description: A test API
      Name: MyRestAPI


  LambdaBasicExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
        - Effect: Allow
          Principal:
            Service: lambda.amazonaws.com
          Action: sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonAPIGatewayAdministrator
        - arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

  MyCustomResource:
    Type: Custom::DisableDefaultApiEndpoint
    Properties:
      ServiceToken: !GetAtt 'MyCustomFunction.Arn'
      APIId: !Ref 'MyRestApi'

  MyCustomFunction:
    Type: AWS::Lambda::Function
    Properties:
      Handler: index.lambda_handler
      Description: "Disable default API endpoint"
      Timeout: 30
      Role: !GetAtt 'LambdaBasicExecutionRole.Arn'
      Runtime: python3.7
      Code:
        ZipFile: |
          import json
          import logging
          import cfnresponse
          import boto3
          
          logger = logging.getLogger()
          logger.setLevel(logging.INFO)

          client = boto3.client('apigateway')

          def lambda_handler(event, context):
            logger.info('got event {}'.format(event))  
            try:

              responseData = {}

              if event['RequestType'] in ["Create"]:                      
                
                APIId = event['ResourceProperties']['APIId']                
                
                response = client.update_rest_api(
                    restApiId=APIId,
                    patchOperations=[
                        {
                            'op': 'replace',
                            'path': '/disableExecuteApiEndpoint',
                            'value': 'True'
                        }
                    ]
                )

                logger.info(str(response))

                cfnresponse.send(event, context, 
                                 cfnresponse.SUCCESS, responseData)

              else:
                logger.info('Unexpected RequestType!') 
                cfnresponse.send(event, context, 
                                  cfnresponse.SUCCESS, responseData)

            except Exception as err:

              logger.error(err)
              responseData = {"Data": str(err)}
              cfnresponse.send(event,context, 
                               cfnresponse.FAILED,responseData)
            return

解決方案3
 1  2021-02-15 19:03:18

如果有人偶然發現這個使用 CDK 的答案,可以使用 AwsCustomResource 構造簡潔地完成此操作(無需定義 Lambda 函數):

const restApi = new apigw.RestApi(...);
const executeApiResource = new cr.AwsCustomResource(this, "execute-api-resource", {
  functionName: "disable-execute-api-endpoint",
  onCreate: {
    service: "APIGateway",
    action: "updateRestApi",
    parameters: {
      restApiId: restApi.restApiId,
      patchOperations: [{
        op: "replace",
        path: "/disableExecuteApiEndpoint",
        value: "True"
      }]
    },
    physicalResourceId: cr.PhysicalResourceId.of("execute-api-resource")
  },
  policy: cr.AwsCustomResourcePolicy.fromStatements([new iam.PolicyStatement({
    effect: iam.Effect.ALLOW,
    actions: ["apigateway:PATCH"],
    resources: ["arn:aws:apigateway:*::/*"],
  })])
});
executeApiResource.node.addDependency(restApi);

解決方案4
 0  2021-05-04 12:14:16

您可以在 AWS CDK 中禁用它。 這是通過查找 CloudFormation 資源並將其設置為 true 來完成的。

   const api = new apigateway.RestApi(this, 'api', );
   (api.node.children[0] as apigateway.CfnRestApi).addPropertyOverride('DisableExecuteApiEndpoint','true')

解決方案5
 0  2022-09-30 20:35:46

這是 snorberhuis 提供的答案的 Python 變體。

 rest_api = apigateway.RestApi(self,...)
 cfn_apigw = rest_api.node.default_child
 cfn_apigw.add_property_override('DisableExecuteApiEndpoint', True)

Amazon 關於“Abstractions and Escape Hatches”的文檔非常有助於理解這里發生的事情。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 AWS API 網關:用戶:匿名無權執行:execute-api:調用資源:arn:aws:execute-api: AWS 匿名無權對資源執行:execute-api:Invoke。 私有 API 網關 AWS execute-api端點請求超時/撥打tcp i / o超時 通過 Cloudformation 在 AWS API Gateway 上設置 HTTP 代理 AWS Cloudformation 將 API 密鑰鏈接到 API 網關 將現有的 AWS Lambda 和 API Gateway 導出到 Cloudformation 模板 在Cloudformation模板中將IAM角色用於AWS API Gateway AWS:使用 cloudformation 模板將 WAF 附加到 api 網關 AWS API 網關 - Lambda 代理未通過 CloudFormation 模板打開 同一 VPC 上的 Lambda 和 API Gateway 導致 User:anonymous is notauthorized to perform: execute-api:Invoke on resource
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM