AWS Lambda 函数无法访问 AppSync GraphQL API - 权限被拒绝

Question

我无法通过 AWS Lambda 函数调用 AppSync GraphQL 查询。我一直在使用本文中的代码，特别是使用IAM权限的后半部分：https://docs.amplify.aws/lib/graphqlapi/graphql-from-nodejs/q/platform/js#signing-a-request-from-lambda

const https = require("https");
const AWS = require("aws-sdk");
const urlParse = require("url").URL;
const appsyncUrl = process.env.API_MYAPP_GRAPHQLAPIENDPOINTOUTPUT;
const region = process.env.REGION;
const endpoint = new urlParse(appsyncUrl).hostname.toString();
const graphqlQuery = require("./query.js").query;

exports.handler = async (event) => {
  const req = new AWS.HttpRequest(appsyncUrl, region);

  req.method = "POST";
  req.path = "/graphql";
  req.headers.host = endpoint;
  req.headers["Content-Type"] = "application/json";
  req.body = JSON.stringify({
    query: graphqlQuery,
    operationName: "list",
  });

  const signer = new AWS.Signers.V4(req, "appsync", true);
  signer.addAuthorization(AWS.config.credentials, AWS.util.date.getDate());

  const data = await new Promise((resolve, reject) => {
    const httpRequest = https.request({ ...req, host: endpoint }, (result) => {
      result.on("data", (data) => {
        resolve(JSON.parse(data.toString()));
      });
    });

    httpRequest.write(req.body);
    httpRequest.end();
  });

  return {
    statusCode: 200,
    body: data,
  };
};

我正在使用 Amplify CLI。我使用 CLI 创建函数并确保它可以访问 GraphQL API。

我在 Lambda 中得到的具体错误是：

      {
  "statusCode": 200,
  "body": {
    "errors": [
      {
        "errorType": "UnauthorizedException",
        "message": "Permission denied"
      }
    ]
  }
}

GraphQL 设置为使用 Cognito 用户池作为身份验证，我通过 Amplify CLI 添加了 IAM 作为辅助身份验证机制。 AWS GraphQL 控制台显示我将 Cognito 作为主要身份验证机制，将 IAM 作为辅助。

Lambda 函数似乎已获得许可，因为它显示了与 API 和 Allow: appsync:GraphQL 对应的 4 个资源（创建、更新、删除、读取）作为操作。

如果我使用amplify mock function myfunction 在本地运行该函数，那么它执行得很好，并且正确返回了 GraphQL 查询的结果。

当我选择 IAM 作为身份验证机制时，我还可以通过 AppSync UI 成功运行相同的查询。

我正在访问的表在我的 schema.graphql 中定义为：

 type Business
  @model
  @auth(
    rules: [
      { allow: owner }
      { allow: groups, groups: ["Admin"] }
      { allow: private, provider: iam }
    ]
  ) {
  id: ID!
  owner: String!
  name: String!
  emailSuffix: String!
  shortCode: String!
}

我已经从模型中删除了 Auth，这并没有什么不同。

我已删除该函数并重新创建它，以防权限被弄乱了。

所以我不认为这是代码，似乎是权限错误。我不知道问题出在哪里

更新 我已经在 IAM 管理器中针对 amplify-lambda-execution 策略修改了权限策略，这似乎已经解决了这个问题。

Amplify 最初添加的权限策略是这样的：

arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/create/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/read/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/edit/*
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/delete/*

修改为：

arn:aws:appsync:MYREGION:MYID:apis/MYAPIID/types/*/fields/* 
arn:aws:appsync:MYREGION:MYID:apis/MYAPIID

允许 lambda 函数在我的表上执行并成功执行 GraphQL 查询。因此，Amplify 添加到该功能的权限似乎存在问题。手动覆盖这些不是一个很好的解决方案。

Answer 1

安装后问题开始 - 放大 cli "4.45.2"。 lambda cloudformation 模板中自动生成权限的旧代码如下所示。

            {
          "Effect": "Allow",
          "Action": [
            "appsync:Create*",
            "appsync:StartSchemaCreation",
            "appsync:GraphQL",
            "appsync:Get*",
            "appsync:List*",
            "appsync:Update*",
            "appsync:Delete*"
          ],
          "Resource": [
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/*"
                ]
              ]
            }
          ]
        }

但是在我开始放大 cli "4.45.2" 并为 appsync 授予 lambda 权限之后。 它生成了：

    {
          "Effect": "Allow",
          "Action": [
            "appsync:GraphQL"
          ],
          "Resource": [
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/create/*"
                ]
              ]
            },
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/read/*"
                ]
              ]
            },
            {
              "Fn::Join": [
                "",
                [
                  "arn:aws:appsync:",
                  {
                    "Ref": "AWS::Region"
                  },
                  ":",
                  {
                    "Ref": "AWS::AccountId"
                  },
                  ":apis/",
                  {
                    "Ref": "myApiGraphQLAPIIdOutput"
                  },
                  "/types/update/*"
                ]
              ]
            }
          ]
        }


enter code here

我在尝试从 lambda 访问 appsync 时收到错误“权限被拒绝”。

我认为新的 cli 在为 lambda 生成 appsync 权限时存在一些错误。

我在 lambda cloudformation 文件中手动移回了旧的生成代码，它工作正常。