ALB触发器Lamda函数缺少权限CDK

基础概念

ALB（Application Load Balancer）是一种负载均衡器，用于分发流量到多个目标，如EC2实例、容器或Lambda函数。Lambda函数是一种无服务器计算服务，允许您运行代码而无需预置或管理服务器。

问题描述

当使用ALB触发Lambda函数时，可能会遇到“Lambda函数缺少权限”的问题。这通常是因为Lambda函数没有足够的权限来接收来自ALB的请求。

原因

这个问题的根本原因是Lambda函数的执行角色没有配置正确的权限策略，导致它无法被ALB调用。

解决方案

1. 创建IAM角色并附加权限策略

首先，创建一个IAM角色，并附加允许Lambda函数接收来自ALB请求的权限策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": "arn:aws:lambda:REGION:ACCOUNT_ID:function:FUNCTION_NAME"
        }
    ]
}

将REGION替换为您的区域，ACCOUNT_ID替换为您的AWS账户ID，FUNCTION_NAME替换为您的Lambda函数名称。

2. 更新Lambda函数的执行角色

将创建的IAM角色分配给Lambda函数的执行角色。

在AWS管理控制台中，找到您的Lambda函数，然后在“配置”选项卡下选择“权限”子选项卡。在“执行角色”部分，选择“编辑”，然后选择您创建的IAM角色。

3. 配置ALB目标组

确保ALB目标组正确配置为将流量路由到Lambda函数。

在AWS管理控制台中，找到您的ALB，然后选择“目标组”选项卡。创建一个新的目标组，并将目标类型设置为“Lambda函数”。在“目标”部分，输入您的Lambda函数的ARN。

4. 验证配置

完成上述步骤后，验证配置是否正确。您可以通过访问ALB的DNS名称来测试是否能够成功触发Lambda函数。

示例代码

以下是一个简单的AWS CDK示例，展示如何创建IAM角色并附加权限策略：

import * as cdk from 'aws-cdk-lib';
import { Role, ServicePrincipal, PolicyStatement } from 'aws-cdk-lib/aws-iam';
import { LambdaFunction } from 'aws-cdk-lib/aws-lambda';
import { ApplicationLoadBalancer, ApplicationProtocol, TargetGroup } from 'aws-cdk-lib/aws-elasticloadbalancingv2';

const app = new cdk.App();
const stack = new cdk.Stack(app, 'MyStack');

// 创建Lambda函数
const myLambda = new LambdaFunction(stack, 'MyLambda', {
    runtime: cdk.Runtime.NODEJS_14_X,
    handler: 'index.handler',
    code: cdk.Code.fromAsset('lambda')
});

// 创建IAM角色并附加权限策略
const lambdaExecutionRole = new Role(stack, 'LambdaExecutionRole', {
    assumedBy: new ServicePrincipal('lambda.amazonaws.com')
});

lambdaExecutionRole.addToPolicy(new PolicyStatement({
    effect: cdk.aws_iam.Effect.ALLOW,
    actions: ['lambda:InvokeFunction'],
    resources: [myLambda.functionArn]
}));

// 配置ALB目标组
const targetGroup = new TargetGroup(stack, 'MyTargetGroup', {
    targetType: cdk.aws_elasticloadbalancingv2.TargetType.LAMBDA,
    targets: [{ id: myLambda.functionArn }]
});

// 创建ALB并关联目标组
const alb = new ApplicationLoadBalancer(stack, 'MyALB', {
    internetFacing: true,
    protocol: ApplicationProtocol.HTTP,
    defaultTargetGroup: targetGroup
});

app.synth();