当前位置: 首页 > 知识库问答 >
问题:

AWS Lambda函数无法访问AppSync GraphQL API-权限被拒绝

裴意
2023-03-14

我无法通过AWS Lambda函数调用AppSync GraphQL查询。我一直在使用本文中的代码,特别是使用IAM权限的后一部分:https://docs.amplify.aws/lib/graphqlapi/graphql-from-nodejs/q/platform/js#signing-a-request-from-lambda

const https = require("https");
const AWS = require("aws-sdk");
const urlParse = require("url").URL;
const appsyncUrl = process.env.API_MYAPP_GRAPHQLAPIENDPOINTOUTPUT;
const region = process.env.REGION;
const endpoint = new urlParse(appsyncUrl).hostname.toString();
const graphqlQuery = require("./query.js").query;

exports.handler = async (event) => {
  const req = new AWS.HttpRequest(appsyncUrl, region);

  req.method = "POST";
  req.path = "/graphql";
  req.headers.host = endpoint;
  req.headers["Content-Type"] = "application/json";
  req.body = JSON.stringify({
    query: graphqlQuery,
    operationName: "list",
  });

  const signer = new AWS.Signers.V4(req, "appsync", true);
  signer.addAuthorization(AWS.config.credentials, AWS.util.date.getDate());

  const data = await new Promise((resolve, reject) => {
    const httpRequest = https.request({ ...req, host: endpoint }, (result) => {
      result.on("data", (data) => {
        resolve(JSON.parse(data.toString()));
      });
    });

    httpRequest.write(req.body);
    httpRequest.end();
  });

  return {
    statusCode: 200,
    body: data,
  };
};

我正在使用放大CLI。我使用CLI创建函数,并确保它可以访问GraphQLAPI。

我在Lambda中得到的具体错误是:

      {
  "statusCode": 200,
  "body": {
    "errors": [
      {
        "errorType": "UnauthorizedException",
        "message": "Permission denied"
      }
    ]
  }
}

GraphQL被设置为使用Cognito用户池作为身份验证,我通过Amplify CLI添加了IAM作为辅助身份验证机制。AWS GraphQL控制台显示,我将Cognito作为主要身份验证机制,将IAM作为次要身份验证机制。

Lambda函数显示了与API对应的4个资源(create、update、delete、read),并将Allow:appsync:GraphQL作为操作,因此它似乎被许可了。

如果我使用放大模拟函数myfunction在本地运行该函数,那么它将正常执行,并且正确返回GraphQL查询的结果。

当我选择IAM作为身份验证机制时,我还可以通过AppSync UI成功运行相同的查询。

我正在访问的表是在我的模式中定义的。图ql为:

 type Business
  @model
  @auth(
    rules: [
      { allow: owner }
      { allow: groups, groups: ["Admin"] }
      { allow: private, provider: iam }
    ]
  ) {
  id: ID!
  owner: String!
  name: String!
  emailSuffix: String!
  shortCode: String!
}

我已经从模型中删除了Auth,这并没有什么不同。

我已经删除了这个函数,并重新创建了它,以防权限不知何故搞砸了。

所以我不认为是代码,似乎是权限错误。我不知道问题会出在哪里

更新我已在IAM Manager中修改了amplify lambda执行策略的权限策略,这似乎已解决了该问题。

扩增最初添加的权限策略的形式如下:

arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/create/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/read/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/edit/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/delete/*

将本条修订为:

arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/*/fields/* 
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID

允许lambda函数在我的表上执行并成功执行GraphQL查询。因此,这似乎是放大器添加到函数的权限的问题。手动覆盖这些不是一个很好的解决方案。

共有1个答案

陈俊誉
2023-03-14

问题在安装后开始-amplify cli“4.45.2”。lambda cloudformation模板中自动生成权限的旧代码如下所示。

            {
          "Effect": "Allow",
          "Action": [
            "appsync:Create*",
            "appsync:StartSchemaCreation",
            "appsync:GraphQL",
            "appsync:Get*",
            "appsync:List*",
            "appsync:Update*",
            "appsync:Delete*"
          ],
          "Resource": [
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/*"
                ]
              ]
            }
          ]
        }

但是在我移动到扩增cli“4.45.2”并给appinc的lambda权限之后。它生成了:

    {
          "Effect": "Allow",
          "Action": [
            "appsync:GraphQL"
          ],
          "Resource": [
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/create/*"
                ]
              ]
            },
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/read/*"
                ]
              ]
            },
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/update/*"
                ]
              ]
            }
          ]
        }


enter code here

我在尝试从lambda访问appsync时遇到错误“权限被拒绝”。

我认为新的cli在为lambda生成appsync权限时存在一些错误。

我手动移回lambda云形成文件中的旧生成代码,它工作了。

 类似资料:
  • 我在Macbook pro osx 10.9 Firefox浏览器上使用XAMP 1.7.3 基本上,我正在尝试编写一个代码,要求用户输入一些信息,然后使用以下方法将信息存储在.txt文件中: 但是我一直收到这个错误消息: 警告:fopen(registration.txt) [function.fopen]:无法打开流:第 30 行的 /Applications/XAMPP/xamppfiles

  • 有没有人遇到过这样的情况:当我对一个用户使用管理策略时,它可以工作,但当我使用内联策略时,它说访问被拒绝。我为IAM用户授予了对bucket读取访问权限,即它只能访问bucket。 我也试过这个

  • 问题内容: max@serv$ whoami max max@serv$ ls -la ./defines.php -rwxrwxrwx 1 max max 1985 2011-11-16 02:01 ./defines.php max@serv$ chmod 0777 ./defines.php max@serv$ rm ./defines.php rm: cannot remove `./de

  • 此外,我运行(没有-g),但它不起作用。是否存在其他安装Typescript的方法?我的操作系统是Linux Ubuntu16.04。我很少使用,也不知道如何解决这个问题。 我的问题是:到底哪些目录需要该权限?

  • 我正在学习一个关于使用硒的教程,但我在开始学习时遇到了麻烦。也就是说,当我尝试运行下面的代码时,我得到了下面的错误。我见过其他有同样问题的用户,我试过他们的解决方案,他们都不起作用。 null