Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Información adicional Conexiones

Implemente el aislamiento de inquilinos de SaaS para Amazon S3 mediante una máquina expendedora de AWS Lambda fichas

Tabby Ward, Thomas Davis y Sravan Periyathambi, Amazon Web Services

Resumen

Las aplicaciones SaaS multiusuario deben implementar sistemas para garantizar que se mantenga el aislamiento de los usuarios. Cuando almacenas datos de inquilinos en el mismo AWS recurso (por ejemplo, cuando varios inquilinos almacenan datos en el mismo depósito de Amazon Simple Storage Service (Amazon S3), debes asegurarte de que no se pueda producir el acceso entre inquilinos. Las máquinas expendedoras de fichas (TVMs) son una forma de aislar los datos de los inquilinos. Estas máquinas proporcionan un mecanismo para obtener tokens y, al mismo tiempo, simplifican la complejidad inherente a la creación de dichos tokens. Los desarrolladores pueden usar una TVM sin tener un conocimiento detallado de cómo la máquina produce los tokens.

Este patrón implementa una TVM mediante el uso de. AWS Lambda La TVM genera un token con credenciales del servicio de token de seguridad (STS) temporales que limitan el acceso a los datos de un único usuario de SaaS en un bucket de S3.

TVMs, y el código que se proporciona con este patrón, se suelen utilizar con afirmaciones derivadas de los JSON Web Tokens (JWTs) para asociar las solicitudes de AWS recursos a una política orientada a los inquilinos AWS Identity and Access Management (IAM). Puede usar el código de este patrón como base para implementar una aplicación SaaS que genere credenciales STS temporales y limitadas en función de las afirmaciones proporcionadas en un token JWT.

Requisitos previos y limitaciones

Requisitos previos

Un activo. Cuenta de AWS
AWS Command Line Interface (AWS CLI) versión 1.19.0 o posterior, instalada y configurada en macOS, Linux o Windows. Como alternativa, puede utilizar la AWS CLI versión 2.1 o posterior.

Limitaciones

Este código se ejecuta en Java y, actualmente, no es compatible con otros lenguajes de programación.
La aplicación de ejemplo no incluye compatibilidad AWS entre regiones ni con la recuperación ante desastres (DR).
Este patrón demuestra cómo puede proporcionar acceso limitado a los usuarios una TVM de Lambda para una aplicación SaaS. Este patrón no está diseñado para usarse en entornos de producción sin pruebas de seguridad adicionales como parte de su aplicación o caso de uso específicos.

Arquitectura

Pila de tecnología de destino

AWS Lambda
Amazon S3
IAM
AWS Security Token Service (AWS STS)

Arquitectura de destino

Generar un token para obtener credenciales STS temporales para acceder a los datos de un bucket de S3.

Herramientas

Servicios de AWS

AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que te ayuda a interactuar Servicios de AWS mediante comandos en tu shell de línea de comandos.
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
AWS Security Token Service (AWS STS) le ayuda a solicitar credenciales temporales con privilegios limitados para los usuarios.
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

Código

El código fuente de este patrón está disponible como archivo adjunto, e incluye los siguientes archivos:

s3UploadSample.jar proporciona el código fuente de una función de Lambda que carga un documento JSON en un bucket de S3.
tvm-layer.zip proporciona una biblioteca Java reutilizable que suministra un token (credenciales temporales de STS) para que la función de Lambda acceda al bucket de S3 y cargue el documento JSON.
token-vending-machine-sample-app.zip proporciona el código fuente usado para crear estos artefactos y las instrucciones de compilación.

Para usar el código de muestra, siga las instrucciones de la siguiente sección.

Epics

Tarea	Descripción	Habilidades requeridas
Determine los valores de las variables.	La implementación de este patrón incluye varios nombres de variables que deben usarse de manera coherente. Determine los valores a usar para cada variable y proporcione cada valor cuando se le solicite en los siguientes pasos. `<AWS Account ID>`─ El identificador de cuenta de 12 dígitos asociado a la cuenta en la Cuenta de AWS que está implementando este patrón. Para obtener información sobre cómo encontrar su Cuenta de AWS ID, consulte Uso de un alias para su Cuenta de AWS ID en la documentación de IAM. `<AWS Region>`─ El lugar en el Región de AWS que está implementando este patrón. Para obtener más información Regiones de AWS, consulte Regiones y zonas de disponibilidad en el AWS sitio web. `<sample-tenant-name>`─ El nombre del inquilino que se va a utilizar en la aplicación. Le recomendamos que introduzca únicamente caracteres alfanuméricos en este valor por motivos de simplicidad, pero puede usar cualquier nombre válido para una clave de objeto de S3. `<sample-tvm-role-name>`─ El nombre de la función de IAM asociada a la función Lambda que ejecuta el TVM y la aplicación de ejemplo. El nombre del rol es una cadena compuesta por caracteres alfanuméricos en mayúscula y minúscula sin espacios. También puede incluir los siguientes caracteres: guion bajo (_), signo más (+), signo igual (=), coma (,), punto (.), arroba (@) y guion (-). El nombre del rol debe ser único dentro de la cuenta. `<sample-app-role-name>`─ El nombre de la función de IAM que asume la función Lambda cuando genera credenciales STS temporales y con ámbito. El nombre del rol es una cadena compuesta por caracteres alfanuméricos en mayúscula y minúscula sin espacios. También puede incluir los siguientes caracteres: guion bajo (_), signo más (+), signo igual (=), coma (,), punto (.), arroba (@) y guion (-). El nombre del rol debe ser único dentro de la cuenta. `<sample-app-function-name>`─ El nombre de la función Lambda. Es una cadena de hasta 64 caracteres de longitud. `<sample-app-bucket-name>`─ El nombre de un bucket de S3 al que se debe acceder con permisos que están sujetos a un inquilino específico. Nombre del bucket de S3: Deben tener entre 3 y 63 caracteres de longitud. Deben contener solo letras minúsculas, números, puntos (.) y guiones (-). Deben comenzar y terminar por una letra o un número. No pueden tener el formato de una dirección IP (por ejemplo, 192.168.5.4). Debe ser exclusivo dentro de una partición. Una partición es una agrupación de regiones. AWS actualmente tiene tres particiones: `aws` para las regiones estándar, `aws-cn` para las regiones de China y `aws-us-gov` para AWS GovCloud (US) Regions.	Administrador de la nube

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree un bucket de S3 para la aplicación de ejemplo.	Usa el siguiente AWS CLI comando para crear un bucket de S3. Proporcione el `<sample-app-bucket-name>` valor en el fragmento de código: `aws s3api create-bucket --bucket <sample-app-bucket-name>` La aplicación de ejemplo de Lambda carga archivos JSON en este bucket.	Administrador de la nube

Cree un bucket de S3 para la aplicación de ejemplo.

Usa el siguiente AWS CLI comando para crear un bucket de S3. Proporcione el <sample-app-bucket-name> valor en el fragmento de código:


aws s3api create-bucket --bucket <sample-app-bucket-name>

La aplicación de ejemplo de Lambda carga archivos JSON en este bucket.

Administrador de la nube

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Crear un rol de TVM.	Utilice uno de los siguientes AWS CLI comandos para crear un rol de IAM. Proporcione el `<sample-tvm-role-name>` valor en el comando. Para los intérprete de comandos para macOS o Linux: `aws iam create-role \ --role-name <sample-tvm-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "lambda.amazonaws.com" ] }, "Condition": { "StringEquals": { "aws:SourceAccount": "<AWS Account ID>" } } } ] }'` En la línea de comandos de Windows: `aws iam create-role ^ --role-name <sample-tvm-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"sts:AssumeRole\"], \"Principal\": {\"Service\": [\"lambda.amazonaws.com\"]}, \"Condition\": {\"StringEquals\": {\"aws:SourceAccount\": \"<AWS Account ID>\"}}}]}"` La aplicación de ejemplo de Lambda asume este rol cuando se invoca la aplicación. La capacidad de asumir el rol de aplicación con una política específica otorga al código permisos más amplios para acceder al bucket de S3.	Administrador de la nube
Cree una política de rol de TVM en línea.	Utilice uno de los siguientes AWS CLI comandos para crear una política de IAM. Proporcione los `<sample-app-role-name>` valores `<sample-tvm-role-name>` `<AWS Account ID>`, y en el comando. Para los intérprete de comandos para macOS o Linux: `aws iam put-role-policy \ --role-name <sample-tvm-role-name> \ --policy-name assume-app-role \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>" } ]}'` En la línea de comandos de Windows: `aws iam put-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-name assume-app-role ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"` Esta política está asociada al rol de TVM. Proporciona la capacidad de asumir el rol de aplicación que otorga permisos más amplios para acceder al bucket de S3.	Administrador de la nube
Adjunte la política de Lambda gestionada.	Utilice el siguiente AWS CLI comando para adjuntar la política de `AWSLambdaBasicExecutionRole` IAM. Proporcione el `<sample-tvm-role-name>` valor en el comando: `aws iam attach-role-policy \ --role-name <sample-tvm-role-name> \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` En la línea de comandos de Windows: `aws iam attach-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` Esta política gestionada se adjunta a la función TVM para permitir que Lambda envíe registros a Amazon. CloudWatch	Administrador de la nube

Crear un rol de TVM.

Utilice uno de los siguientes AWS CLI comandos para crear un rol de IAM. Proporcione el <sample-tvm-role-name> valor en el comando.

Para los intérprete de comandos para macOS o Linux:


aws iam create-role \
--role-name <sample-tvm-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "lambda.amazonaws.com"
                ]
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<AWS Account ID>"
                }
            }
        }
    ]
}'

En la línea de comandos de Windows:


aws iam create-role ^
--role-name <sample-tvm-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"sts:AssumeRole\"], \"Principal\": {\"Service\": [\"lambda.amazonaws.com\"]}, \"Condition\": {\"StringEquals\": {\"aws:SourceAccount\": \"<AWS Account ID>\"}}}]}"

La aplicación de ejemplo de Lambda asume este rol cuando se invoca la aplicación. La capacidad de asumir el rol de aplicación con una política específica otorga al código permisos más amplios para acceder al bucket de S3.

Administrador de la nube

Cree una política de rol de TVM en línea.

Utilice uno de los siguientes AWS CLI comandos para crear una política de IAM. Proporcione los <sample-app-role-name> valores <sample-tvm-role-name> <AWS Account ID>, y en el comando.

Para los intérprete de comandos para macOS o Linux:


aws iam put-role-policy \
--role-name <sample-tvm-role-name> \
--policy-name assume-app-role \
--policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>"
        }
    ]}'

En la línea de comandos de Windows:


aws iam put-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-name assume-app-role ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"

Esta política está asociada al rol de TVM. Proporciona la capacidad de asumir el rol de aplicación que otorga permisos más amplios para acceder al bucket de S3.

Administrador de la nube

Adjunte la política de Lambda gestionada.

Utilice el siguiente AWS CLI comando para adjuntar la política de AWSLambdaBasicExecutionRole IAM. Proporcione el <sample-tvm-role-name> valor en el comando:


aws iam attach-role-policy \
--role-name <sample-tvm-role-name> \
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

En la línea de comandos de Windows:


aws iam attach-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Esta política gestionada se adjunta a la función TVM para permitir que Lambda envíe registros a Amazon. CloudWatch

Administrador de la nube

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Crear el rol de la aplicación.	Utilice uno de los siguientes AWS CLI comandos para crear un rol de IAM. Proporcione los `<sample-tvm-role-name>` valores `<sample-app-role-name><AWS Account ID>`, y en el comando. Para los intérprete de comandos para macOS o Linux: `aws iam create-role \ --role-name <sample-app-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>" }, "Action": "sts:AssumeRole" } ]}'` En la línea de comandos de Windows: `aws iam create-role ^ --role-name <sample-app-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"` La aplicación de ejemplo de Lambda asume esta función con una política específica para obtener acceso basado en usuario a un bucket de S3.	Administrador de la nube
Cree una política de rol de aplicación en línea.	Utilice uno de los siguientes AWS CLI comandos para crear una política de IAM. Proporcione los `<sample-app-bucket-name>` valores `<sample-app-role-name>` y en el comando. Para los intérprete de comandos para macOS o Linux: `aws iam put-role-policy \ --role-name <sample-app-role-name> \ --policy-name s3-bucket-access \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<sample-app-bucket-name>/" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<sample-app-bucket-name>" } ]}'` En la línea de comandos de Windows: `aws iam put-role-policy ^ --role-name <sample-app-role-name> ^ --policy-name s3-bucket-access ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"` Esta política está asociada al rol de la aplicación. Proporciona un acceso amplio a los objetos del bucket de S3. Cuando la aplicación de ejemplo asume el rol, estos permisos se asignan a un usuario específico con la política de TVM generada de forma dinámica.	Administrador de la nube

Crear el rol de la aplicación.

Utilice uno de los siguientes AWS CLI comandos para crear un rol de IAM. Proporcione los <sample-tvm-role-name> valores <sample-app-role-name><AWS Account ID>, y en el comando.

Para los intérprete de comandos para macOS o Linux:


aws iam create-role \
--role-name <sample-app-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": 
            "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>"
            },
            "Action": "sts:AssumeRole"
        }
    ]}'

En la línea de comandos de Windows:


aws iam create-role ^
--role-name <sample-app-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"

La aplicación de ejemplo de Lambda asume esta función con una política específica para obtener acceso basado en usuario a un bucket de S3.

Administrador de la nube

Cree una política de rol de aplicación en línea.

Utilice uno de los siguientes AWS CLI comandos para crear una política de IAM. Proporcione los <sample-app-bucket-name> valores <sample-app-role-name> y en el comando.

Para los intérprete de comandos para macOS o Linux:


aws iam put-role-policy \
--role-name <sample-app-role-name> \
--policy-name s3-bucket-access \
--policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": [
                "s3:PutObject", 
                "s3:GetObject", 
                "s3:DeleteObject"
            ], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>/*"
        }, 
        {
            "Effect": "Allow", 
            "Action": ["s3:ListBucket"], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>"
        }
    ]}'

En la línea de comandos de Windows:


aws iam put-role-policy ^
--role-name <sample-app-role-name> ^
--policy-name s3-bucket-access ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/*\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"

Esta política está asociada al rol de la aplicación. Proporciona un acceso amplio a los objetos del bucket de S3. Cuando la aplicación de ejemplo asume el rol, estos permisos se asignan a un usuario específico con la política de TVM generada de forma dinámica.

Administrador de la nube

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Descargue los archivos fuente compilados.	Descargue los archivos `s3UploadSample.jar` y `tvm-layer.zip`, que se incluyen como adjuntos. El código fuente utilizado para crear estos artefactos y las instrucciones de compilación se proporcionan en `token-vending-machine-sample-app.zip`.	Administrador de la nube
Cree la capa de Lambda.	Utilice el siguiente AWS CLI comando para crear una capa Lambda, que haga que Lambda pueda acceder a la TVM. nota Si no ejecuta este comando desde la ubicación en la que lo descargó `tvm-layer.zip`, indique la ruta correcta `tvm-layer.zip` en el parámetro. `--zip-file` `aws lambda publish-layer-version \ --layer-name sample-token-vending-machine \ --compatible-runtimes java11 \ --zip-file fileb://tvm-layer.zip` En la línea de comandos de Windows: `aws lambda publish-layer-version ^ --layer-name sample-token-vending-machine ^ --compatible-runtimes java11 ^ --zip-file fileb://tvm-layer.zip` Este comando crea una capa de Lambda que contiene la biblioteca TVM reutilizable.	Administrador de la nube, desarrollador de aplicaciones
Crear la función de Lambda.	Utilice el siguiente AWS CLI comando para crear una función Lambda. Proporcione los `<sample-app-role-name>` valores `<sample-app-function-name><AWS Account ID>`,`<AWS Region>`, `<sample-tvm-role-name><sample-app-bucket-name>`, y en el comando. nota Si no ejecuta este comando desde la ubicación en la que lo descargó`s3UploadSample.jar`, indique la ruta correcta `s3UploadSample.jar` en el `--zip-file` parámetro. `aws lambda create-function \ --function-name <sample-app-function-name> \ --timeout 30 \ --memory-size 256 \ --runtime java11 \ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \ --handler com.amazon.aws.s3UploadSample.App \ --zip-file fileb://s3UploadSample.jar \ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>, ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` En la línea de comandos de Windows: `aws lambda create-function ^ --function-name <sample-app-function-name> ^ --timeout 30 ^ --memory-size 256 ^ --runtime java11 ^ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^ --handler com.amazon.aws.s3UploadSample.App ^ --zip-file fileb://s3UploadSample.jar ^ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` Este comando crea una función de Lambda con el código de la aplicación de ejemplo y la capa de TVM adjunta. También establece dos variables de entorno: `S3_BUCKET` y `ROLE`. La aplicación de ejemplo usa estas variables para determinar el rol que debe asumir y el bucket de S3 en el que se deben cargar los documentos JSON.	Administrador de la nube, desarrollador de aplicaciones

Descargue los archivos fuente compilados.

Descargue los archivos s3UploadSample.jar y tvm-layer.zip, que se incluyen como adjuntos. El código fuente utilizado para crear estos artefactos y las instrucciones de compilación se proporcionan en token-vending-machine-sample-app.zip.

Administrador de la nube

Cree la capa de Lambda.

Utilice el siguiente AWS CLI comando para crear una capa Lambda, que haga que Lambda pueda acceder a la TVM.

nota

Si no ejecuta este comando desde la ubicación en la que lo descargó tvm-layer.zip, indique la ruta correcta tvm-layer.zip en el parámetro. --zip-file


aws lambda publish-layer-version \
--layer-name sample-token-vending-machine \
--compatible-runtimes java11 \
--zip-file fileb://tvm-layer.zip

En la línea de comandos de Windows:


aws lambda publish-layer-version ^
--layer-name sample-token-vending-machine ^
--compatible-runtimes java11 ^
--zip-file fileb://tvm-layer.zip

Este comando crea una capa de Lambda que contiene la biblioteca TVM reutilizable.

Administrador de la nube, desarrollador de aplicaciones

Crear la función de Lambda.

Utilice el siguiente AWS CLI comando para crear una función Lambda. Proporcione los <sample-app-role-name> valores <sample-app-function-name><AWS Account ID>,<AWS Region>, <sample-tvm-role-name><sample-app-bucket-name>, y en el comando.

nota

Si no ejecuta este comando desde la ubicación en la que lo descargós3UploadSample.jar, indique la ruta correcta s3UploadSample.jar en el --zip-file parámetro.


aws lambda create-function \
--function-name <sample-app-function-name>  \
--timeout 30 \
--memory-size 256 \
--runtime java11 \
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \
--handler com.amazon.aws.s3UploadSample.App \
--zip-file fileb://s3UploadSample.jar \
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,
ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

En la línea de comandos de Windows:


aws lambda create-function ^
--function-name <sample-app-function-name>  ^
--timeout 30 ^
--memory-size 256 ^
--runtime java11 ^
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^
--handler com.amazon.aws.s3UploadSample.App ^
--zip-file fileb://s3UploadSample.jar ^
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

Este comando crea una función de Lambda con el código de la aplicación de ejemplo y la capa de TVM adjunta. También establece dos variables de entorno: S3_BUCKET y ROLE. La aplicación de ejemplo usa estas variables para determinar el rol que debe asumir y el bucket de S3 en el que se deben cargar los documentos JSON.

Administrador de la nube, desarrollador de aplicaciones

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Invoque la aplicación de ejemplo de Lambda.	Utilice uno de los siguientes AWS CLI comandos para iniciar la aplicación de ejemplo de Lambda con la carga útil esperada. Proporcione los `<sample-tenant-name>` valores `<sample-app-function-name>` y en el comando. Para intérprete de comandos macOS y Linux: `aws lambda invoke \ --function <sample-app-function-name> \ --invocation-type RequestResponse \ --payload '{"tenant": "<sample-tenant-name>"}' \ --cli-binary-format raw-in-base64-out response.json` En la línea de comandos de Windows: `aws lambda invoke ^ --function <sample-app-function-name> ^ --invocation-type RequestResponse ^ --payload "{\"tenant\": \"<sample-tenant-name>\"}" ^ --cli-binary-format raw-in-base64-out response.json` Este comando llama a la función de Lambda y devuelve el resultado en un documento `response.json`. En muchos sistemas basados en Unix, puede cambiar `response.json` a `/dev/stdout` para enviar los resultados directamente a su intérprete de comandos sin necesidad de crear otro archivo. nota Si se cambia el `<sample-tenant-name>` valor en las siguientes invocaciones de esta función Lambda, se modifica la ubicación del documento JSON y los permisos que proporciona el token.	Administrador de la nube, desarrollador de aplicaciones
Acceda al bucket de S3 para ver los objetos creados.	Navegue hasta el bucket de S3 (`<sample-app-bucket-name>`) que creó anteriormente. Este depósito contiene un prefijo de objeto S3 con el valor de`<sample-tenant-name>`. Bajo ese prefijo, encontrará un documento JSON denominado con un UUID. Si invoca la aplicación de ejemplo varias veces, se añadirán más documentos JSON.	Administrador de la nube
Vea los registros de la aplicación de muestra en CloudWatch Logs.	Vea los registros que están asociados a la función Lambda nombrada `<sample-app-function-name>` en CloudWatch Logs. Para obtener instrucciones, consulte Envío de registros de funciones de Lambda a CloudWatch registros en la documentación de Lambda. En estos registros puede ver la política basada en usuario generada por la TVM. Esta política dirigida al inquilino otorga permisos para la aplicación de ejemplo a Amazon S3 PutObject,, y GetObjectDeleteObjectListBucket APIs, pero solo para el prefijo de objeto al que está asociado. `<sample-tenant-name>` En las siguientes invocaciones de la aplicación de ejemplo, si se cambia`<sample-tenant-name>`, la TVM actualiza la política con el ámbito de aplicación para que se ajuste al inquilino proporcionado en la carga útil de invocación. Esta política generada dinámicamente muestra cómo se puede mantener el acceso basado en usuario con una TVM en aplicaciones SaaS. La funcionalidad de TVM se proporciona en una capa de Lambda. Así, es posible adjuntarla a otras funciones de Lambda usadas por una aplicación sin tener que replicar el código. Para ver un ejemplo de la política generada dinámicamente, consulte la sección de Información adicional.	Administrador de la nube

Invoque la aplicación de ejemplo de Lambda.

Utilice uno de los siguientes AWS CLI comandos para iniciar la aplicación de ejemplo de Lambda con la carga útil esperada. Proporcione los <sample-tenant-name> valores <sample-app-function-name> y en el comando.

Para intérprete de comandos macOS y Linux:


aws lambda invoke \
--function <sample-app-function-name> \
--invocation-type RequestResponse \
--payload '{"tenant": "<sample-tenant-name>"}' \
--cli-binary-format raw-in-base64-out response.json

En la línea de comandos de Windows:


aws lambda invoke ^
--function <sample-app-function-name> ^
--invocation-type RequestResponse ^
--payload "{\"tenant\": \"<sample-tenant-name>\"}" ^
--cli-binary-format raw-in-base64-out response.json

Este comando llama a la función de Lambda y devuelve el resultado en un documento response.json. En muchos sistemas basados en Unix, puede cambiar response.json a /dev/stdout para enviar los resultados directamente a su intérprete de comandos sin necesidad de crear otro archivo.

nota

Si se cambia el <sample-tenant-name> valor en las siguientes invocaciones de esta función Lambda, se modifica la ubicación del documento JSON y los permisos que proporciona el token.

Administrador de la nube, desarrollador de aplicaciones

Acceda al bucket de S3 para ver los objetos creados.

Navegue hasta el bucket de S3 (<sample-app-bucket-name>) que creó anteriormente. Este depósito contiene un prefijo de objeto S3 con el valor de<sample-tenant-name>. Bajo ese prefijo, encontrará un documento JSON denominado con un UUID. Si invoca la aplicación de ejemplo varias veces, se añadirán más documentos JSON.

Administrador de la nube

Vea los registros de la aplicación de muestra en CloudWatch Logs.

Vea los registros que están asociados a la función Lambda nombrada <sample-app-function-name> en CloudWatch Logs. Para obtener instrucciones, consulte Envío de registros de funciones de Lambda a CloudWatch registros en la documentación de Lambda. En estos registros puede ver la política basada en usuario generada por la TVM. Esta política dirigida al inquilino otorga permisos para la aplicación de ejemplo a Amazon S3 PutObject,, y GetObjectDeleteObjectListBucket APIs, pero solo para el prefijo de objeto al que está asociado. <sample-tenant-name> En las siguientes invocaciones de la aplicación de ejemplo, si se cambia<sample-tenant-name>, la TVM actualiza la política con el ámbito de aplicación para que se ajuste al inquilino proporcionado en la carga útil de invocación. Esta política generada dinámicamente muestra cómo se puede mantener el acceso basado en usuario con una TVM en aplicaciones SaaS.

La funcionalidad de TVM se proporciona en una capa de Lambda. Así, es posible adjuntarla a otras funciones de Lambda usadas por una aplicación sin tener que replicar el código.

Para ver un ejemplo de la política generada dinámicamente, consulte la sección de Información adicional.

Administrador de la nube

Recursos relacionados

Aislar a los usuarios con políticas de IAM generadas dinámicamente (publicación del blog)
Aplicación de políticas de aislamiento generadas dinámicamente en entornos SaaS (entrada del blog)
SaaS en AWS

Información adicional

El siguiente registro muestra la política generada dinámicamente producida por el código TVM en este patrón. En esta captura de pantalla, el <sample-app-bucket-name> es DOC-EXAMPLE-BUCKET y el <sample-tenant-name> estest-tenant-1. Las credenciales de STS emitidas por esta política limitada no pueden realizar ninguna acción en los objetos del bucket de S3, excepto en aquellos objetos asociados al prefijo de clave de objeto test-tenant-1.

Registro que muestra una política generada dinámicamente producida por el código TVM.

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Implemente aplicaciones anidadas con SAM de AWS

Implementar el patrón saga sin servidor mediante AWS Step Functions