我已使用 AWS API Gateway 前端成功配置了对我的 Lambda 函数的 IAM 身份验证访问,但无法找到如何将 IAM 用户身份传递给我的 Lambda 函数。
我完全需要 IAM 用户身份,并且无法在调用 IAM 用户凭证下运行 Lambda 函数。 我所需要的只是在我的 Lambda 函数中调用 IAM 用户身份。
有选择吗?
【问题讨论】:
标签: aws-lambda aws-api-gateway amazon-iam
在您发布问题时不支持从 Amazon API Gateway 请求上下文访问身份和其他信息,但最近已添加,请参阅 Announcement: Context Variables:
您现在可以从映射模板中访问 context variables 以检索有关 API 调用的上下文信息。您可以访问阶段、资源路径和 HTTP 方法等数据,以及有关调用者身份的信息。然后可以使用 $context 变量将此信息传递给您的后端集成。 [强调我的]
Accessing the $context Variable 上的参考文档具有 $context Variable Reference,并且有各种 $context.identity.* 参数可以解决您的用例。
正如 Soenke 对类似 question in the Amazon API Gateway forum 的 OP 的回答中所述,有一个尚未记录的 integration 参数导致 Cognito 标识符包含在此 $context.identity.* 上下文变量中:
为了拥有 Cognito(不是 IAM!)IdentityId 和 IdentityPoolId 在 Lambda 中可用,您必须启用“与调用者调用 API 网关“集成请求”页面上的凭据” GW 资源。这导致了一个新的上下文结构“身份” (包含“cognitoIdentityId”和“cognitoIdentityPoolId”是 传递给 Lambda 函数)。
【讨论】:
"MyUserArn" : "$context.identity.userArn"。这会使正文变得一团糟,并且需要启用对我的请求的完整记录,以便识别呼叫者帐户。没有更好的方法吗?至少,我只想将我的变量添加到标头或 QSParam 中。 (我用的是豆茎,不是 lambda)
您可以将 Cognito 与“公共”池 id 一起使用,然后将角色附加到 Cognito 池 id,该角色正在访问您的 Lambda,我认为它称为 InvokeLambdaRole 或其他东西
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'REGION:YOUR_POOL_ID',
});
使用 AWS STS 获取具有有限权限的临时凭证。之后,您可以将 API Gateway 与 AWS_IAM 身份验证一起使用,然后端点将为您调用 Lambda 方法。或者您可以使用您获得的凭据直接调用 lambda,但是您必须再次为您创建的身份池附加正确的角色。
注意:在您的杆上设置严格的最低角色,即公开可用的 id,每个人都可以使用它来获取临时或固定(跨设备跟踪用户)user_/app_ id。
【讨论】: