4

我想生成一个自定义策略,提供对 AWS 自定义授权方内的 DynamoDB 表的细粒度访问。这可能吗?

在无服务器中,我的配置如下所示:

functions:
  APIAuthorizer:
    handler: src/services/auth/handlers.apiAuthorizer
    cors: true
  GraphQLAPI:
    handler: src/services/graphql/handlers.apiHandler
    events:
      - http:
          path: "/api"
          method: post
          cors: true
          authorizer:
            name: APIAuthorizer
            type: request
            resultTtlInSeconds: 0

我已验证正在调用我的自定义授权方,并且它生成的各种权限(sts:AssumeRolelambda:InvokeFunctionexecute-api:Invoke和其他权限)是成功调用 API 处理程序所必需的。所以我的自定义授权人正在工作,它提供的结果是必要的。

但是,当授权者包含 dynamodb 权限时,例如像 { Effect: "Allow", Action: "dynamodb: ", "Resource": " " }这样的语句

我的 API 处理程序(GraphQLAPI 函数)失败并显示如下消息

User: arn:aws:sts::<myaccountid>:assumed-role/<mydefaultrole>/myservice-mystage-GraphQLAPI is not authorized to perform: dynamodb:Query on resource: arn:aws:dynamodb:us-east-1:<myaccountId>:table/<mytable>/index/<someIndex>

(我注意到投诉是关于索引权限的,因此还尝试为该索引和/或所有索引添加特定权限,但这没有效果。)

底线,经过多次不同的尝试,自定义授权者发出的 dynamodb 权限被完全忽略。我的 lambda node.js 代码正在使用 AWS 节点 SDK,它应该从实例环境中获取权限。我假设这将包括自定义授权人生成的权限。

最后,我注意到关于如何加载凭证的 AWS javascript SDK 文档只说“执行角色为 Lambda 函数提供了运行和调用其他 Web 服务所需的凭证”。即,它没有提到由自定义授权方发布的动态生成的凭据。

这似乎解释了我所看到的行为。我的 API 处理程序仅具有来自静态定义的执行角色的权限(错误消息也表明了这一点),并且未授予自定义授权者生成的权限。

无论如何,是否可以使用我的自定义授权方在我的 API 处理程序中生成的权限?

4

1 回答 1

5

我认为您误解了 Lambda 授权方的 IAM 策略输出。来自授权方的 IAM 策略输出的目的是反映 API 网关在继续处理请求方面的结果。

返回的策略不一定应用于被调用的函数,而是应用于函数的调用。它只是告诉 API Gateway 请求用户有权访问哪些 API。

如果您希望为被调用的 API 函数授予对资源(例如 DynamoDB 表或任何其他 AWS 资源)的特定访问权限,则必须在分配给 Lambda 函数的角色中配置这些资源。否则,您可以指定一个角色,要调用的 Lambda 函数将假定该角色授予它额外的权限。该角色可以通过授权方的上下文参数传递。

于 2018-05-02T05:46:40.370 回答