Справка по облачной информации API AWS IAM для авторизации по ключу доступа / секретному ключу - PullRequest
Новая
       85

Справка по облачной информации API AWS IAM для авторизации по ключу доступа / секретному ключу

0 голосов
/ 06 февраля 2019

В настоящее время мы используем API-ключи для безопасного доступа к нашему API-шлюзу.Однако мы переходим к модели IAM с доступом / секретным ключом.Я понимаю, что swagger не позволяет нам делать это (в настоящее время в swagger для активации аутентификации по API-ключу установлен api_key.

Я создал политику, необходимую для различных операций: 

  SvcAccountPolicy:
    Type: AWS::IAM::ManagedPolicy
    Properties:
      ManagedPolicyName: !Sub 'iam-${EnvTag}'
      PolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Action:
              - 'execute-api:Invoke'
            Resource:
              - !Sub 'arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${SomeApi}/*/GET/*'
              - !Sub 'arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${SomeApi}/*/POST/*'
              - !Sub 'arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${SomeApi}/*/PUT/*'
              - !Sub 'arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${SomeApi}/*/DELETE/*'
      Users:
        - !Ref userSvcAcct

Моя лямбда-функция показана ниже.Я все еще новичок в формировании облаков и хотел бы получить некоторую помощь по поводу того, что я могу сделать, чтобы добавить к этому лямбда-авторизатор (полагаю, это будет в разделе «События» -> «ApiPost / Get и т. Д.»), Что позволило бы мне использовать секрет/ ключ доступа. 

  FtpUserMgmtLambda:
    Type: AWS::Serverless::Function
    Properties:
      Description: Lambda handler function for FTP user management
      Handler: 'handler.UserManagementHandler::handleRequest'
      Runtime: java8
      MemorySize: 512
      Timeout: 300
      FunctionName: !Ref LambdaFunctionName
      Role: !GetAtt UserMgmtLambdaRole.Arn
      CodeUri:
        Bucket: !Ref LambdaCodeS3Bucket
        Key: !Ref LambdaCodeFileName
      VpcConfig:
        SomeConfig stuff here
      Environment:
        Variables:
          dbPort: !Ref UserStoreDbPort
          dbUser: !Ref UserStoreDbUserId
          dbName: !Ref UserStoreDbName
          environment: !Ref EnvTag
          basepath: 'somepath'
      Events:
        ApiPost:
          Type: Api
          Properties:
            RestApiId: !Ref SomeApi
            Path: /path
            Method: POST
            Auth: <<Dont know what to do here! HELP>>
        ApiGet:
          Type: Api
          Properties:
            RestApiId: !Ref SomeApi
            Path: /path
            Method: GET
            Auth: *<<Dont know what to do here! HELP>>*
      Tags:
        Name: !Ref LambdaFunctionName
        function: lambda function that manages ftp users

1 Ответ

0 голосов
/ 12 февраля 2019

Исправлено через Swagger.Пример кода, как показано ниже: 

---
swagger: "2.0"
info:
  version: "2017-10-17T17:47:44Z"
  title: "User-Mgt-API"
basePath: "/${environment}"
schemes:
  - "https"
paths:
  /ftpuser:
    post:
      x-amazon-apigateway-auth:
        type: aws_iam
      produces:
        - "application/json"
      responses:
        200:
          description: "When create user request successful"
          schema:
            $ref: "#/definitions/Empty"
        400:
          description: "When API vallidation error happens"
          schema:
            $ref: "#/definitions/Empty"
      x-amazon-apigateway-integration:
        responses:
          default:
               statusCode: "200"
        uri:
          Fn::Sub: arn:aws:apigateway:${AWS::Region}:lambda:path/2015-03-31/functions/${FtpUserMgmtLambda.Arn}/invocations
        passthroughBehavior: "when_no_match"
        httpMethod: "POST"
        contentHandling: "CONVERT_TO_TEXT"
        type: "aws_proxy"
 definitions:
  Empty:
    type: "object"
    title: "Empty Schema"

Затем в облачной информации добавили следующее в определение бессерверного API для обработки файла чванства.Конечно, 

FtpUserMgmtApi:
    Type: AWS::Serverless::Api
    Properties:
      Name: !Ref ApiName
      StageName: !Ref ApiDeploymentStageName
      DefinitionBody:
        Fn::Transform:
          Name: AWS::Include
          Parameters:
            Location: !Sub s3://${swaggerS3Location}

Надеюсь, это поможет.В Интернете также есть пример использования x-amazon-apigateway-any-method, используя который я вывел выше.Эта ссылка здесь .

...