Политика неверно сформирована при развертывании бессерверного приложения - PullRequest
Новая
       32

Политика неверно сформирована при развертывании бессерверного приложения

0 голосов
/ 10 июля 2020

У меня есть лямбда-функция, созданная с использованием бессерверной инфраструктуры, которая выдает ошибку при развертывании в среде разработки. Проблема, похоже, связана с IAM и не столько связана с разрешениями, сколько AWS говорит, что это неверная политика. Я включил сообщение об ошибке в консоли облачной информации, а также весь файл serverless.yml. Надеялся, что кто-то может помочь мне исправить это, я работал с другой учетной записью, хотя внес изменения, такие как ограничение памяти и указание ресурса для политики iam. Следует добавить к этому, я подтвердил, что очередь sqs, указанная в части iam, действительно существует, и я пробовал точное arn без части opt:accID.

Сообщение об ошибке 

The policy failed legacy parsing (Service: AmazonIdentityManagement; Status Code: 400; Error Code: MalformedPolicyDocument;

Файл Serverless.yaml 

provider:
  name: aws
  runtime: nodejs10.x
  region: us-east-1
  vpc:
    securityGroupIds:
      - ${ssm:/${opt:stage}/securityGroupIds}
    subnetIds:
      - ${ssm:/${opt:stage}/subnetIds}
  iamRoleStatements:
    - Effect: 'Allow'
      Resource: arn:aws:sqs:us-east-1:{opt:accID}:influxdb_perf_mon
      Action:
        - 'sqs:*'
  environment:
    tsQueue: https://sqs.us-east-1.amazonaws.com/${opt:accID}/influxdb_perf_mon

functions:
  perf:
    handler: handler.perf
    memorySize: 128 # in MB
    events:
      - sqs: 
          arn: arn:aws:sqs:us-east-1:{opt:accID}:influxdb_perf_mon
          batchSize: 1

Облако в S3 

"IamRoleLambdaExecution": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "lambda.amazonaws.com"
                ]
              },
              "Action": [
                "sts:AssumeRole"
              ]
            }
          ]
        },
        "Policies": [
          {
            "PolicyName": {
              "Fn::Join": [
                "-",
                [
                  "timeseries-lambda",
                  "dev",
                  "lambda"
                ]
              ]
            },
            "PolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": [
                    "logs:CreateLogStream",
                    "logs:CreateLogGroup"
                  ],
                  "Resource": [
                    {
                      "Fn::Sub": "arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:log-group:/aws/lambda/timeseries-lambda-dev*:*"
                    }
                  ]
                },
                {
                  "Effect": "Allow",
                  "Action": [
                    "logs:PutLogEvents"
                  ],
                  "Resource": [
                    {
                      "Fn::Sub": "arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:log-group:/aws/lambda/timeseries-lambda-dev*:*:*"
                    }
                  ]
                },
                {
                  "Effect": "Allow",
                  "Resource": "arn:aws:sqs:us-east-1:100525853236:influxdb_perf_mon",
                  "Action": [
                    "sqs:*"
                  ]
                },
                {
                  "Effect": "Allow",
                  "Action": [
                    "sqs:ReceiveMessage",
                    "sqs:DeleteMessage",
                    "sqs:GetQueueAttributes"
                  ],
                  "Resource": [
                    "arn:aws:sqs:us-east-1:{opt:accID}:influxdb_perf_mon"
                  ]
                }
              ]
            }
          }
        ],
        "Path": "/",
        "RoleName": {
          "Fn::Join": [
            "-",
            [
              "timeseries-lambda",
              "dev",
              {
                "Ref": "AWS::Region"
              },
              "lambdaRole"
            ]
          ]
        },
        "ManagedPolicyArns": [
          {
            "Fn::Join": [
              "",
              [
                "arn:",
                {
                  "Ref": "AWS::Partition"
                },
                ":iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole"
              ]
            ]
          }
        ]
      }
    },

Ответы [ 2 ]

0 голосов
/ 10 июля 2020

I повторно развернул вашу роль в моем аккаунте sandabox. Я обнаружил, что проблема возникает из: 

                {
                  "Effect": "Allow",
                  "Action": [
                    "sqs:ReceiveMessage",
                    "sqs:DeleteMessage",
                    "sqs:GetQueueAttributes"
                  ],
                  "Resource": [
                    "arn:aws:sqs:us-east-1:{opt:accID}:influxdb_perf_mon"
                  ]
                }

В частности, из {opt:accID}. Изменение ресурса на (номер реального счета) устранило проблему в моей проверке: 

"arn:aws:sqs:us-east-1:324124214:influxdb_perf_mon"

Таким образом, возникает вопрос: откуда эта политика ? Его нет в списке Serverless.yaml, указанном в вопросе? Вы уверены, что это последний Serverless.yaml, который вы использовали?

0 голосов
/ 10 июля 2020

В строке, определяющей ресурс для перечисленных вами разрешений IAM, есть небольшая опечатка и отсутствует $:

Resource: arn:aws:sqs:us-east-1:{opt:accID}:influxdb_perf_mon

должно быть

Resource: arn:aws:sqs:us-east-1:${opt:accID}:influxdb_perf_mon

Это может решить вашу проблему

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...