AWS SQS + Lambda，在 Lambda 上执行工作后执行“DeleteMessage”时出错

Question

我正在使用 "aws/aws-sdk-php": "^3.185" 实施 AWS SQS 作业队列。使用队列命令在我的 VPS 上正确处理作业（拉取作业 -> 处理作业 -> 删除作业）：

php artisan queue:work

但使用相同的凭证，在 Lambda 环境中，作业完成后无法删除。简而言之，pull job -> process job --X--> delete job。 以下是错误：

"errorType": "Aws\Sqs\Exception\SqsException",

“errorMessage”：“在“https://sqs.ap-northeast-1.amazonaws.com/xxxxxxxxxxx/SQS-TestJob”上执行“DeleteMessage”时出错；AWS HTTP 错误：客户端错误：POST https://sqs.ap-northeast-1.amazonaws.com/xxxxxxxxxxx/SQS-TestJob 导致403 Forbidden 响应：\nSenderI (truncated...)\n InvalidClientTokenId (client): The security token included in the request is invalid. - <ErrorResponse xmlns="http://queue.amazonaws.com/doc/2012-11-05/">SenderInvalidClientTokenId请求中包含的安全令牌无效。b28151cc-0c42 -5eec-be57-08a6207db931"

在可见时间（本例中为 30 秒）后，取消删除消息将再次出现。

应用启动时我应该更新令牌吗？

谢谢，

Answer 1

如果 Amazon SQS 正在触发 AWS Lambda 函数，则该函数不应检索或删除 SQS 队列中的消息。

相反，Lambda 函数将通过event 变量提供消息，这取代了从 SQS 队列中检索消息的需要。

当 Lambda 函数成功完成且没有错误时，Lambda 服务（运行该函数）将自动从 SQS 队列中删除该消息。如果函数未成功完成，消息将不被删除，这将导致它在隐身期过后重新出现在队列中。

因此，如果 SQS 正在触发 Lambda 函数，则 Lambda 函数实际上不需要任何权限即可访问 Amazon SQS 队列。

---

如果 AWS Lambda 函数以另一种方式触发（例如，按计划每 5 分钟触发一次），则 Lambda 函数将负责调用 ReceiveMessage() 和 DeleteMessage() .

该函数需要一个有权调用这两个函数的 IAM 角色。

当调用DeleteMessage() 时，该函数将传递在ReceiveMessage() 调用期间提供的ReceiptHandle。

Answer 2

虽然您还没有发布代码，但我怀疑虽然您认为使用了相同的凭据，但事实并非如此。为了让 lambda 运行，您必须为其分配 IAM 角色。当您的代码尝试使用底层 AWS 例程时，它将首先自动搜索以查看是否可以找到凭证。 lambda 服务可以自动为正在运行的 lambda 代码提供临时访问密钥和秘密访问密钥，这些代码可用于访问允许分配给 lambda 的 IAM 角色访问的 AWS 服务。实际上，出于安全原因，这是 lambda 中的首选方式，因此您不需要硬编码的凭据。

简而言之，我将验证分配给 lambda 函数的 IAM 角色是否与您的原始凭证的 IAM 用户的权限相匹配。