【发布时间】:2020-03-26 05:28:30
【问题描述】:
TL;DR: 是否可以手动更改用于 Post Authentication 功能配置的 Amplify CloudFormation 模板以授予(例如)IoT attachPrincipalPolicy 的权限?
我正在使用 AWS Amplify 和 amplify CLI 来设置一个新项目。总体而言,Amplify 让事情变得非常简单,但我一直认为您只能在 Amplify 受控项目变得困难或不可能完成之前,使用 Amplify 走“这么远”。
我感兴趣的用例与使用 IoT 设置 PubSub - the AWS instructions cover how to get this working 有关,但我认为这更像是“概念证明”,而不是“你应该在任何接近生产的东西中使用的东西” -它涉及在每个 Cognito 身份上手动调用 aws iot attach-principal-policy --policy-name 'myIoTPolicy' --principal '<YOUR_COGNITO_IDENTITY_ID>'。
相反,我想做的是在用户登录网站时使用 Post Authentication lambda 函数/事件挂钩来调用 attachPrincipalPolicy(可能首先检查政策是否适用已附上!)。
我测试过,也许这显然不能“正常工作”
var iot = new AWS.Iot();
var params = {
policyName: 'myIoTPolicy', /* required */
principal: 'XYZ123XYZ123' /* required */
};
try {
iot.attachPrincipalPolicy(params, function (err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
callback(null, event);
});
} catch (e) {
console.log(e); // successful response
}
最后出现类似的错误
AccessDeniedException: User: arn:aws:sts::123123123123123:assumed-role/project82382PostAuthentication-master/project82382PostAuthentication-master is not authorized to perform: iot:AttachPrincipalPolicy on resource: XYZ123XYZ123
问题的核心是,如果我使用 Amplify CLI 修改项目,如何以不会中断的方式授予此 lambda 函数权限?例如,理论上我可以更改project82382PostAuthentication-cloudformation-template.json 并添加某种配置,以授予执行iot:AttachPrincipalPolicy 的权限,但是我认为如果/当我更改导致Amplify CLI 重新生成的某些配置时,这将被删除CloudFormation 模板?
【问题讨论】:
-
你弄明白了吗?是否可以以编程方式将策略附加到 IAM?
-
想知道同样的事情...需要让我的 lambda 执行角色访问机密管理器
标签: amazon-web-services aws-lambda aws-amplify aws-amplify-cli