AWS Lambda 函数无法访问 AppSync GraphQL API - 权限被拒绝
Posted
技术标签:
【中文标题】AWS Lambda 函数无法访问 AppSync GraphQL API - 权限被拒绝【英文标题】:AWS Lambda function unable to access AppSync GraphQL API - permission denied 【发布时间】:2021-06-01 09:28:57 【问题描述】:我无法通过 AWS Lambda 函数调用 AppSync GraphQL 查询。我一直在使用本文中的代码,特别是使用IAM权限的后半部分:https://docs.amplify.aws/lib/graphqlapi/graphql-from-nodejs/q/platform/js#signing-a-request-from-lambda
const https = require("https");
const AWS = require("aws-sdk");
const urlParse = require("url").URL;
const appsyncUrl = process.env.API_MYAPP_GRAPHQLAPIENDPOINTOUTPUT;
const region = process.env.REGION;
const endpoint = new urlParse(appsyncUrl).hostname.toString();
const graphqlQuery = require("./query.js").query;
exports.handler = async (event) =>
const req = new AWS.HttpRequest(appsyncUrl, region);
req.method = "POST";
req.path = "/graphql";
req.headers.host = endpoint;
req.headers["Content-Type"] = "application/json";
req.body = JSON.stringify(
query: graphqlQuery,
operationName: "list",
);
const signer = new AWS.Signers.V4(req, "appsync", true);
signer.addAuthorization(AWS.config.credentials, AWS.util.date.getDate());
const data = await new Promise((resolve, reject) =>
const httpRequest = https.request( ...req, host: endpoint , (result) =>
result.on("data", (data) =>
resolve(JSON.parse(data.toString()));
);
);
httpRequest.write(req.body);
httpRequest.end();
);
return
statusCode: 200,
body: data,
;
;我正在使用 Amplify CLI。我使用 CLI 创建函数并确保它可以访问 GraphQL API。
我在 Lambda 中得到的具体错误是:
"statusCode": 200,
"body":
"errors": [
"errorType": "UnauthorizedException",
"message": "Permission denied"
]
GraphQL 设置为使用 Cognito 用户池作为身份验证,我通过 Amplify CLI 添加了 IAM 作为辅助身份验证机制。 AWS GraphQL 控制台显示我将 Cognito 作为主要身份验证机制,将 IAM 作为辅助。
Lambda 函数似乎已获得许可,因为它显示了与 API 和 Allow: appsync:GraphQL 对应的 4 个资源(创建、更新、删除、读取)作为操作。
如果我使用amplify mock function myfunction 在本地运行该函数,那么它执行得很好,并且正确返回了 GraphQL 查询的结果。
当我选择 IAM 作为身份验证机制时,我还可以通过 AppSync UI 成功运行相同的查询。
我正在访问的表在我的 schema.graphql 中定义为:
type Business
@model
@auth(
rules: [
allow: owner
allow: groups, groups: ["Admin"]
allow: private, provider: iam
]
)
id: ID!
owner: String!
name: String!
emailSuffix: String!
shortCode: String!
我已经从模型中删除了 Auth,这并没有什么不同。
我已删除该函数并重新创建它,以防权限被弄乱了。
所以我不认为这是代码,似乎是权限错误。我不知道问题出在哪里
更新 我已经在 IAM 管理器中针对 amplify-lambda-execution 策略修改了权限策略,这似乎已经解决了这个问题。
Amplify 最初添加的权限策略是这样的:
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/create/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/read/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/edit/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/delete/*
修改为:
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/*/fields/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID
允许 lambda 函数在我的表上执行并成功执行 GraphQL 查询。因此,Amplify 添加到该功能的权限似乎存在问题。手动覆盖这些不是一个很好的解决方案。
【问题讨论】:
【参考方案1】:安装后问题开始 - 放大 cli "4.45.2"。 lambda cloudformation 模板中自动生成权限的旧代码如下所示。
"Effect": "Allow",
"Action": [
"appsync:Create*",
"appsync:StartSchemaCreation",
"appsync:GraphQL",
"appsync:Get*",
"appsync:List*",
"appsync:Update*",
"appsync:Delete*"
],
"Resource": [
"Fn::Join": [
"",
[
"arn:aws:appsync:",
"Ref": "AWS::Region"
,
":",
"Ref": "AWS::AccountId"
,
":apis/",
"Ref": "myApiGraphQLAPIIdOutput"
,
"/*"
]
]
]
但是在我开始放大 cli "4.45.2" 并为 appsync 授予 lambda 权限之后。 它生成了:
"Effect": "Allow",
"Action": [
"appsync:GraphQL"
],
"Resource": [
"Fn::Join": [
"",
[
"arn:aws:appsync:",
"Ref": "AWS::Region"
,
":",
"Ref": "AWS::AccountId"
,
":apis/",
"Ref": "myApiGraphQLAPIIdOutput"
,
"/types/create/*"
]
]
,
"Fn::Join": [
"",
[
"arn:aws:appsync:",
"Ref": "AWS::Region"
,
":",
"Ref": "AWS::AccountId"
,
":apis/",
"Ref": "myApiGraphQLAPIIdOutput"
,
"/types/read/*"
]
]
,
"Fn::Join": [
"",
[
"arn:aws:appsync:",
"Ref": "AWS::Region"
,
":",
"Ref": "AWS::AccountId"
,
":apis/",
"Ref": "myApiGraphQLAPIIdOutput"
,
"/types/update/*"
]
]
]
enter code here
我在尝试从 lambda 访问 appsync 时收到错误“权限被拒绝”。
我认为新的 cli 在为 lambda 生成 appsync 权限时存在一些错误。
我在 lambda cloudformation 文件中手动移回了旧的生成代码,它工作正常。
【讨论】:
感谢分享云形成文件。这很有帮助。我正在运行 Amplify CLI 的 4.44.2。我还没有升级到 4.45.2。必须是两个版本的 CLI 的问题。手动更新云形成文件比通过 UI 手动调整权限更好。以上是关于AWS Lambda 函数无法访问 AppSync GraphQL API - 权限被拒绝的主要内容,如果未能解决你的问题,请参考以下文章
从 lambda 调用 AWS AppSync GraphQL API 变异查询
让 DynamoDB Stream Lambda 函数调用 AWS AppSync 突变
lambda 函数中 api 键的 aws appsync 环境变量