Как создать лямбда-разрешение для пользовательского авторизатора запросов веб-сокетов с CloudFormation для API Gateway?

Я пытался создать лямбда-разрешение для авторизатора запросов веб-сокетов для API-шлюза и маршрута $connect. В документации AWS ничего не говорится о создании правильного лямбда-разрешения для авторизатора веб-сокетов. Я получаю сообщение об ошибке 500 при попытке подключиться к своему пользовательскому авторизатору.

Поскольку в документации AWS ( https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-lambda-auth.html) ничего не упоминается об этом разрешении, я предполагаю, что нужно будет создать лямбда-разрешение, как у авторизатора TOKEN.

Пользовательский авторизатор был создан с помощью моего скрипта CloudFormation следующим образом:

# ***************************************************************
# API Gateway Websocket Authorizer
# ***************************************************************
WebsocketAuthorizer:
    Type: 'AWS::ApiGatewayV2::Authorizer'
    DependsOn: Lambda
    Properties:
        Name: WebsocketAuthorizer
        ApiId:
            Fn::ImportValue:
                !Sub ${Env}-${AWS::Region}-altosignal-global-websockets
        AuthorizerType: REQUEST
        AuthorizerCredentialsArn:
            Fn::ImportValue: 
                !Sub ${Env}-${AWS::Region}-global-iamprocesscommandsfromapigateway-arn
        AuthorizerUri: !Sub arn:aws:apigateway:${AWS::Region}:lambda:path/2015-03-31/functions/${Lambda.Arn}/invocations
        IdentitySource: 
            - route.request.querystring.token

Когда я создаю авторизатор вручную с помощью консоли, в конце я получаю следующее приглашение:

Этот создатель, созданный вручную, работает, как только я подключаю его к конечной точке $connect.

Итак, именно это разрешение я пытаюсь установить в своем скрипте CloudFormation. Я пробовал следующие настройки, но это не работает. Я получаю 500 ошибок:

   LambdaPermission:
        Type: AWS::Lambda::Permission
        DependsOn: 
            - Lambda
            - WebsocketAuthorizer
        Properties:
            Action: lambda:*
            FunctionName: !GetAtt Lambda.Arn
            Principal: apigateway.amazonaws.com
            SourceArn: !Sub 
                - arn:aws:execute-api:${AWS::Region}:${AWS::AccountId}:${apiId}/${Env}/$connect
                - apiId: 
                    Fn::ImportValue:
                        !Sub ${Env}-${AWS::Region}-altosignal-global-websockets

Кто-нибудь знает правильные настройки разрешений лямбда для пользовательского авторизатора для конечной точки $ web-сокета API Gateway $connect?

Источник

0 ответов

Вам определенно нужно лямбда-разрешение. Это то, что я имею для установки разрешения, и это работает хорошо. Единственное отличие, которое я вижу здесь, состоит в том, что SourceArn не предоставляется. Это, надеюсь, даст вам место для начала.

Permission:
    Type: "AWS::Lambda::Permission"
    DependsOn:
    - "WebsocketApi"
    Properties:
      Action: "lambda:InvokeFunction"
      FunctionName: !GetAtt Lambda.Arn
      Principal:
        Fn::Join:
        - ""
        - - "apigateway."
          - Ref: "AWS::URLSuffix"
Источник

Я использую samcli и имею это разрешение как авторизатор, и это работает для меня.

  AuthorizerFunctionPermission:
    Type: AWS::Lambda::Permission
    DependsOn:
      - WebSocketApi
    Properties:
      Action: lambda:InvokeFunction
      FunctionName: arn:aws:lambda:AWS_REGION:YOUR_ACCOUT_ID:function:AUTHORIZER_FUNCTION_NAME
      Principal: apigateway.amazonaws.com

Просто замените AWS_REGION, YOUR_ACCOUNT_ID и AUTHORIZER_FUNCTION_NAME

Источник
Другие вопросы по тегам