Пользовательский авторизатор AWS API Gateway странно показывает ошибку

Это можно исправить двумя способами, которые описаны в ответе на ошибку: https://forum.serverless.com/t/rest-api-with-custom-authorizer-how-are-you-dealing-with-authorization-and-policy-cache/3310

Укороченная версия:

1. Установите TTL для авторизатора клиента на 0
2. Установите настраиваемый ресурс политики авторизатора как *

Я пробовал каждое решение, и они оба решили проблему с тем, что пользователь не имеет права доступа к этому ресурсу для меня.

Эта ошибка возникает, если вы используете event.methodArn в качестве ресурса для сгенерированной политики и совместно используете авторизатор между различными функциями из-за того, как работает кэширование политики. Для предоставленного токена политика кэшируется для всего API, это будет одна и та же запись кэша для всех методов и ресурсов в рамках одного и того же API и этапа (если они используют один и тот же авторизатор).

Например, при запросе к GET /users ARN будет выглядеть примерно так:

arn:aws:execute-api:us-1:abc:123/prod/GET/users

При следующем вызове любой конечной точки с тем же маркером аутентификации будет использоваться кэшированная политика, созданная при первом вызове GET /users. Проблема с этой кэшированной политикой заключается в том, что ее ресурс разрешает только один конкретный ресурс arn: ... /prod/GET/users, любой другой ресурс будет отклонен.

В зависимости от того, насколько вы хотите ограничить разрешения политики, вы можете указать каждый возможный ресурс при создании политики.

{
  "principalId": "user",
  "policyDocument": {
    "Statement": [
      {
        "Action": "execute-api:Invoke",
        "Effect": "Allow",
        "Resource": [
          "arn:aws:execute-api:us-1:abc:123/prod/GET/v1/users",
          "arn:aws:execute-api:us-1:abc:123/prod/POST/v1/users",
          "arn:aws:execute-api:us-1:abc:123/prod/GET/v1/orders"
        ]
      }
    ],
    "Version": "2012-10-17"
  }
}

или используйте подстановочные знаки

"Resource": "arn:aws:execute-api:us-1:abc:123/prod/*/v?/*"

или даже

"Resource": "*"

Вы можете использовать переменные политики для некоторых расширенных шаблонов.

Также можно использовать подход черного списка, разрешая все с помощью подстановочных знаков, а затем запрещая определенные ресурсы в другом заявлении политики.

Источники:

• Форумы AWS: проблема шлюза API с пользовательскими авторизаторами
• Документация AWS: поле ресурса политики IAM

В коде сборки пользовательской политики модуль js узла aws-auth-policy Часть Nodejs, которую вы можете использовать,

AuthPolicy.prototype.allowAllMethods = function () {
  addMethod.call(this, "allow", "*", "*", null);
}

В коде

const AuthPolicy = require('aws-auth-policy');
  const policy = new AuthPolicy(principalId, awsAccountId, apiOptions);
           // policy.allowMethod(method, resource);
            policy.allowAllMethods();
            const authResponse = policy.build();

Я исправил это, установив AuthorizerResultTtlInSeconds на 0.

Причина этого в том, что я использовал общий авторизатор. Однако авторизатор работал, читая контекст события запроса и предоставляя IAM для последующего вызова определенной лямбды.

Поскольку авторизатор был общим, он кэшировал ответ, который представлял собой IAM для определенной лямбды для TTL (в моем случае) 300 секунд.

Поэтому я мог вызывать один API в одну минуту, а в следующую — нет.

Изменение значения выше на 0 устранило проблему.

Я столкнулся с тем же «Пользователь не имеет права доступа к этому ресурсу», моя ошибка заключалась в том, что я не предоставил области OAuth в авторизаторе моего шлюза API.