如何解决AWS CDK - 无法在 Lambda 中承担细粒度授权的角色
我对 AWS 的细节还很陌生,所以请原谅我一个愚蠢的问题。 我一直在寻找答案,但没有找到任何可以回答我的问题的问题。
我正在构建一个项目,我正在尝试使用此 AWS 教程正确完成权限:https://aws.amazon.com/blogs/apn/partitioning-pooled-multi-tenant-saas-data-with-amazon-dynamodb/
我已经创建了角色和策略:
const tenantUserRole = new Role(this,"TenantUserRole",{
assumedBy: new ServicePrincipal("lambda.amazonaws.com"),});
table.grantReadWriteData(tenantUserRole);
然后,在我的 Lambda 中,我试图:
const role = await stsClient.send(
new AssumeRoleCommand({
Policy: getPolicy("tenant"),RoleArn: process.env.TENANT_ROLE_ARN,RoleSessionName: "foo",})
);
这不起作用,因为我在 Lambda 中遇到错误:
{ "errorType": "拒绝访问","errorMessage": "用户:arn:aws:sts::xxx:assumed-role/ProjectStack-createuserServiceRoleB9D8AADE-GrdI6MWXA5MY/ProjectStack-createuserC6ED88E6-K0S95UXTN9MH 无权执行:sts:AssumeRole 资源:arn:aws:iam xxx:role/ProjectStack-TenantUserRoleB79B8D3A-11N644X7UF0SR",“痕迹”: [ “访问拒绝:用户:arn:aws:sts::xxx:assumed-role/ProjectStack-createuserServiceRoleB9D8AADE-GrdI6MWXA5MY/ProjectStack-createuserC6ED88E6-K0S95UXTN9MH 无权执行:sts:AssumeRole 资源:arn:xxx:aws:角色/ProjectStack-TenantUserRoleB79B8D3A-11N644X7UF0SR",
目标是始终根据用户上下文解析权限,那么我应该在我的 CDK 堆栈中做什么才能使我的所有 Lambda 能够执行必须完成的操作?
解决方法
如@Maurice 所述,应该信任角色而不是服务主体 (llambda.amazonaws.com
)。
以下是 CDK 代码。
TenantUserRole
被 apiRole
信任,aws lambda
import * as cdk from '@aws-cdk/core';
import * as iam from '@aws-cdk/aws-iam';
export class CdkWorkshopStack extends cdk.Stack {
constructor(scope: cdk.App,id: string,props?: cdk.StackProps) {
super(scope,id,props);
// aws lambda role
const lambdaRole = new iam.Role(this,'apiRole',{
roleName: 'apiRole',assumedBy: new iam.ServicePrincipal('lambda.amazonaws.com'),});
// trusted by TenantUserRole for access
const tenantUserRole = new iam.Role(this,'TenantUserRole',{
roleName: 'TenantUserRole',assumedBy: new iam.ArnPrincipal(lambdaRole.roleArn),});
// policy to allow assume role TenantUserRole
lambdaRole.addToPolicy(
new iam.PolicyStatement({
resources: [tenantUserRole.roleArn],actions: ['sts:AssumeRole'],})
);
}
}
这里看起来像角色的信任策略。
❯❯ aws iam get-role --role-name TenantUserRole
{
"Role": {
"Path": "/","RoleName": "TenantUserRole","RoleId": "AROA2WXKNDTKKGFADASD","Arn": "arn:aws:iam::1234567890:role/TenantUserRole","CreateDate": "2021-03-03T23:34:13+00:00","AssumeRolePolicyDocument": {
"Version": "2012-10-17","Statement": [
{
"Effect": "Allow","Principal": {
"AWS": "arn:aws:iam::1234567890:role/apiRole"
},"Action": "sts:AssumeRole"
}
]
},"Description": "","MaxSessionDuration": 3600,"RoleLastUsed": {}
}
}
允许 aws lambda 角色承担 TenantUserRole
的政策
❯❯ aws iam get-role-policy --role-name apiRole --policy-name apiRoleDefaultPolicy771DC0DD
{
"RoleName": "apiRole","PolicyName": "apiRoleDefaultPolicy771DC0DD","PolicyDocument": {
"Version": "2012-10-17","Statement": [
{
"Action": "sts:AssumeRole","Resource": "arn:aws:iam::1234567890:role/TenantUserRole","Effect": "Allow"
}
]
}
}
How to use trust policies with IAM roles
在 lambda 中,您需要在假设 TenantUserRole
之后,您需要使用这些凭据并创建 dynamodb
客户端,然后使用该客户端进行 api 调用 putItem
import boto3
def lambda_handler(event,context):
sts = boto3.client('sts')
// assume TenantUserRole
creds = sts.assume_role(
RoleArn='arn:aws:iam::1234567890:role/TenantUserRole',RoleSessionName="tempsession"
)
// Use Credentials from the assume call to make dynamodb client
tenant_user_dyanmodb_client = boto3.client(
'dynamodb',aws_access_key_id=creds.get('Credentials').get('AccessKeyId'),aws_secret_access_key=creds.get('Credentials').get('SecretAccessKey'),aws_session_token=creds.get('Credentials').get('SessionToken')
)
// call put item
tenant_user_dyanmodb_client.put_item(TableName='fruitSalad',Item={'fruitName':{'S':'Banana'},'key2':{'N':'value2'}})
,
似乎对谁是校长有误解。
当您在 Lambda 函数中尝试调用其他 AWS API 操作时,实际上不是调用的是服务 lambda.amazonaws.com
,而是 Lambda 函数承担的角色.
这意味着不是允许服务 lambda.amazonaws.com
代入您的 TenantUserRole
,而是您需要允许该函数使用的角色代入该角色。
您需要配置代入角色策略以及 lambda 函数角色的权限,以允许其调用 sts:AssumeRole
。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。