AWS Lambda函数无法访问AppSync GraphQL API-权限被拒绝
我无法通过AWS Lambda函数调用AppSync GraphQL查询。我一直在使用本文中的代码,特别是使用IAM权限的后一部分:https://docs.amplify.aws/lib/graphqlapi/graphql-from-nodejs/q/platform/js#signing-a-request-from-lambda
const https = require("https");
const AWS = require("aws-sdk");
const urlParse = require("url").URL;
const appsyncUrl = process.env.API_MYAPP_GRAPHQLAPIENDPOINTOUTPUT;
const region = process.env.REGION;
const endpoint = new urlParse(appsyncUrl).hostname.toString();
const graphqlQuery = require("./query.js").query;
exports.handler = async (event) => {
const req = new AWS.HttpRequest(appsyncUrl, region);
req.method = "POST";
req.path = "/graphql";
req.headers.host = endpoint;
req.headers["Content-Type"] = "application/json";
req.body = JSON.stringify({
query: graphqlQuery,
operationName: "list",
});
const signer = new AWS.Signers.V4(req, "appsync", true);
signer.addAuthorization(AWS.config.credentials, AWS.util.date.getDate());
const data = await new Promise((resolve, reject) => {
const httpRequest = https.request({ ...req, host: endpoint }, (result) => {
result.on("data", (data) => {
resolve(JSON.parse(data.toString()));
});
});
httpRequest.write(req.body);
httpRequest.end();
});
return {
statusCode: 200,
body: data,
};
};我正在使用放大CLI。我使用CLI创建函数,并确保它可以访问GraphQLAPI。
我在Lambda中得到的具体错误是:
{
"statusCode": 200,
"body": {
"errors": [
{
"errorType": "UnauthorizedException",
"message": "Permission denied"
}
]
}
}
GraphQL被设置为使用Cognito用户池作为身份验证,我通过Amplify CLI添加了IAM作为辅助身份验证机制。AWS GraphQL控制台显示,我将Cognito作为主要身份验证机制,将IAM作为次要身份验证机制。
Lambda函数显示了与API对应的4个资源(create、update、delete、read),并将Allow:appsync:GraphQL作为操作,因此它似乎被许可了。
如果我使用放大模拟函数myfunction在本地运行该函数,那么它将正常执行,并且正确返回GraphQL查询的结果。
当我选择IAM作为身份验证机制时,我还可以通过AppSync UI成功运行相同的查询。
我正在访问的表是在我的模式中定义的。图ql为:
type Business
@model
@auth(
rules: [
{ allow: owner }
{ allow: groups, groups: ["Admin"] }
{ allow: private, provider: iam }
]
) {
id: ID!
owner: String!
name: String!
emailSuffix: String!
shortCode: String!
}
我已经从模型中删除了Auth,这并没有什么不同。
我已经删除了这个函数,并重新创建了它,以防权限不知何故搞砸了。
所以我不认为是代码,似乎是权限错误。我不知道问题会出在哪里
更新我已在IAM Manager中修改了amplify lambda执行策略的权限策略,这似乎已解决了该问题。
扩增最初添加的权限策略的形式如下:
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/create/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/read/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/edit/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/delete/*
将本条修订为:
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/*/fields/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID
允许lambda函数在我的表上执行并成功执行GraphQL查询。因此,这似乎是放大器添加到函数的权限的问题。手动覆盖这些不是一个很好的解决方案。
共有1个答案
问题在安装后开始-amplify cli“4.45.2”。lambda cloudformation模板中自动生成权限的旧代码如下所示。
{
"Effect": "Allow",
"Action": [
"appsync:Create*",
"appsync:StartSchemaCreation",
"appsync:GraphQL",
"appsync:Get*",
"appsync:List*",
"appsync:Update*",
"appsync:Delete*"
],
"Resource": [
{
"Fn::Join": [
"",
[
"arn:aws:appsync:",
{
"Ref": "AWS::Region"
},
":",
{
"Ref": "AWS::AccountId"
},
":apis/",
{
"Ref": "myApiGraphQLAPIIdOutput"
},
"/*"
]
]
}
]
}
但是在我移动到扩增cli“4.45.2”并给appinc的lambda权限之后。它生成了:
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL"
],
"Resource": [
{
"Fn::Join": [
"",
[
"arn:aws:appsync:",
{
"Ref": "AWS::Region"
},
":",
{
"Ref": "AWS::AccountId"
},
":apis/",
{
"Ref": "myApiGraphQLAPIIdOutput"
},
"/types/create/*"
]
]
},
{
"Fn::Join": [
"",
[
"arn:aws:appsync:",
{
"Ref": "AWS::Region"
},
":",
{
"Ref": "AWS::AccountId"
},
":apis/",
{
"Ref": "myApiGraphQLAPIIdOutput"
},
"/types/read/*"
]
]
},
{
"Fn::Join": [
"",
[
"arn:aws:appsync:",
{
"Ref": "AWS::Region"
},
":",
{
"Ref": "AWS::AccountId"
},
":apis/",
{
"Ref": "myApiGraphQLAPIIdOutput"
},
"/types/update/*"
]
]
}
]
}
enter code here
我在尝试从lambda访问appsync时遇到错误“权限被拒绝”。
我认为新的cli在为lambda生成appsync权限时存在一些错误。
我手动移回lambda云形成文件中的旧生成代码,它工作了。
-
我在Macbook pro osx 10.9 Firefox浏览器上使用XAMP 1.7.3 基本上,我正在尝试编写一个代码,要求用户输入一些信息,然后使用以下方法将信息存储在.txt文件中: 但是我一直收到这个错误消息: 警告:fopen(registration.txt) [function.fopen]:无法打开流:第 30 行的 /Applications/XAMPP/xamppfiles
-
有没有人遇到过这样的情况:当我对一个用户使用管理策略时,它可以工作,但当我使用内联策略时,它说访问被拒绝。我为IAM用户授予了对bucket读取访问权限,即它只能访问bucket。 我也试过这个
-
问题内容: max@serv$ whoami max max@serv$ ls -la ./defines.php -rwxrwxrwx 1 max max 1985 2011-11-16 02:01 ./defines.php max@serv$ chmod 0777 ./defines.php max@serv$ rm ./defines.php rm: cannot remove `./de
-
此外,我运行(没有-g),但它不起作用。是否存在其他安装Typescript的方法?我的操作系统是Linux Ubuntu16.04。我很少使用,也不知道如何解决这个问题。 我的问题是:到底哪些目录需要该权限?
-
我正在学习一个关于使用硒的教程,但我在开始学习时遇到了麻烦。也就是说,当我尝试运行下面的代码时,我得到了下面的错误。我见过其他有同样问题的用户,我试过他们的解决方案,他们都不起作用。 null