AWS Lambda 微服务设计和链接 C# Lambda 与 SNS（安全性？）

Question

我是微服务新手，所以尝试做一个小应用程序。

这是我目前的设计：

创建两个 LambdaService：

1) GetSomeData (string domainName, string nextSNS, ILambdaContext context) 
2) StoreSomeData (string jsonData)

第 1 部分：

我对微服务的理解是每个功能应该只做一件事。所以“GetSomeData”接受一个域名，进行网络调用，将结果解析为 JSON。然后我需要将它存储在 StoreSomeData 中的 RDS 数据库中。 但在未来，我可能只想获取数据，或者用它做其他事情。

我现在 99% 的时间都需要的函数是 GetAndStoreSomeData。但如果我这样做，我就不是微服务了，对吧？

所以我在想如果一个程序只想从“GetSomeData”返回 JSON，它只会在 nextSNS 中传递 null。但是如果它想要存储数据，它将在 nextSNS 中传递一个 SNSTopicName 或 arn，然后“GetSomeData”将使用 JSON 响应向该 SNS 发布一条消息。

该进程将由我尚未完全弄清楚的其他进程启动，该进程将从 RDS 数据库中选择一些域，并可能调用 API-Gateway 以启动“GetSomeData”。我可能不得不从某种类型的调度程序运行它。

我想知道这是否是一个好的设计。我刚刚发布并测试了没有“nextSNS”参数的“GetSomeData”。

第 2 部分：

如果“GetSomeData”需要发布到 SNS，我如何在不存储 IAM 凭证的情况下做到这一点。我可以使用角色吗？或者我必须使用秘密访问密钥，也许我可以将它放入一个环境变量中，以至少将其排除在代码之外。

我正在考虑克隆这个方法：https://gist.github.com/bkizzy/2705156 来发布 SNS 消息。但是后来我发现了一个 Java 示例，它只有大约 6 行代码用于调用：Lambda does not trigger SNS event. Chaining AWS lambdas with SNS。是否有类似的简短方法可以从 C# 中执行相同的操作？除了原始请求/响应之外，我在亚马逊网站上找不到太多关于如何发布 SNS 的信息。 (https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)

Answer 1

根据定义，你在这里得到的任何答案都会有点固执，但是......

第 1 部分

“微服务”是一个很好的营销名称，但归根结底它是一种设计模式，而不是硬性的设计规则。对我来说，这很大程度上取决于围绕服务的支持结构。例如，我主要在创业环境中工作。这意味着我必须使用 AWS ELB 处理 AWS RDS、AWS VPC、AWS EC2，等等，使用 TLA's。

其他环境有专门的 DevOps 人员协助管理环境。

如果您只想维护一个 Lambda，那么就维护一个 Lambda，这是一个很长的说法。微服务警察可能会或可能不会与您搭讪，但只有您知道在这方面什么最有意义。

第 2 部分

关于 AWS Lambda（和 EC2 有一个非常相似的概念）的一个很酷的事情是您可以设置 an execution role。基本上，这是您的 Lambda 代码在其下运行的 IAM 中的一个角色。因此，例如，如果您的 Lambda 需要发送 SNS 消息，您可以将 AmazonSNSFullAccess 添加到运行 Lambda 的角色中，您的 Lambda 现在可以发送和接收 SNS 消息。

在获取 C# 环境的凭据方面，this blog post 似乎让您知道如何去做。

我承认我不熟悉发送 SNS 消息的 C# 方面，但看起来 Publish 很好地映射到 Java 方面。

Answer 2

您的特定安全问题的答案是您为每个 Lambda 函数分配一个 IAM 执行角色，从而允许它访问 SNS 等内容。您不要在 Lambda 函数中使用 AWS 秘密访问密钥等凭证。

关于 Java 和 C# 与 AWS 交互的差异，您为发布到 SNS 而链接的 C# 方法是使用原始 HTTP 连接，而不是使用适用于 .NET 的 AWS 开发工具包，因此当然是更多的代码行。您绝对应该使用the official AWS SDK，这将使您的 C# 代码看起来与您链接的 Java 代码几乎相同。