Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados Mais informações Anexos

Implemente o isolamento de inquilinos de SaaS para o Amazon S3 usando uma máquina de venda automática de tokens AWS Lambda

Tabby Ward, Thomas Davis e Sravan Periyathambi, da Amazon Web Services

Resumo

Os aplicativos SaaS multilocação devem implementar sistemas para garantir que o isolamento dos inquilinos seja mantido. Quando você armazena dados de inquilinos no mesmo AWS recurso, como quando vários inquilinos armazenam dados no mesmo bucket do Amazon Simple Storage Service (Amazon S3), você deve garantir que o acesso entre inquilinos não ocorra. As máquinas de venda automática de tokens (TVMs) são uma forma de fornecer isolamento de dados do inquilino. Essas máquinas fornecem um mecanismo para obter tokens e, ao mesmo tempo, abstrair a complexidade de como esses tokens são gerados. Os desenvolvedores podem usar uma TVM sem ter conhecimento detalhado de como ela produz tokens.

Esse padrão implementa um TVM usando. AWS Lambda A TVM gera um token que consiste em credenciais temporárias de serviço de token de segurança (STS) que limitam o acesso aos dados de um único inquilino SaaS em um bucket S3.

TVMse o código fornecido com esse padrão são normalmente usados com declarações derivadas de JSON Web Tokens (JWTs) para associar solicitações de AWS recursos a uma política com escopo de inquilino (IAM AWS Identity and Access Management ). Você pode usar o código deste padrão como base para implementar um aplicativo SaaS que gera credenciais STS temporárias e com escopo com base nas declarações fornecidas em um token JWT.

Pré-requisitos e limitações

Pré-requisitos

Um ativo Conta da AWS.
AWS Command Line Interface (AWS CLI) versão 1.19.0 ou posterior, instalada e configurada no macOS, Linux ou Windows. Como alternativa, você pode usar a AWS CLI versão 2.1 ou posterior.

Limitações

Este código é executado em Java e atualmente não oferece suporte a outras linguagens de programação.
O aplicativo de amostra não inclui suporte AWS entre regiões ou recuperação de desastres (DR).
Este padrão demonstra como uma TVM do Lambda para um aplicativo SaaS pode fornecer acesso de inquilino com escopo definido. Esse padrão não deve ser usado em ambientes de produção sem testes de segurança adicionais como parte de seu aplicativo ou caso de uso específico.

Arquitetura

Pilha de tecnologias de destino

AWS Lambda
Amazon S3
IAM
AWS Security Token Service (AWS STS)

Arquitetura de destino

Geração de um token para obter credenciais STS temporárias para acessar dados em um bucket do S3.

Ferramentas

Serviços da AWS

AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
AWS Security Token Service (AWS STS) ajuda você a solicitar credenciais temporárias com privilégios limitados para os usuários.
O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

Código

O código-fonte deste padrão está disponível como anexo e inclui os seguintes arquivos:

s3UploadSample.jar fornece o código-fonte para uma função do Lambda que carrega um documento JSON em um bucket do S3.
tvm-layer.zip oferece uma biblioteca Java reutilizável que fornece um token (credenciais temporárias STS) para que a função do Lambda acesse o bucket do S3 e faça o upload do documento JSON.
token-vending-machine-sample-app.zip fornece o código-fonte usado para criar esses artefatos e instruções de compilação.

Para usar esses arquivos, siga as instruções da próxima seção.

Épicos

Tarefa	Descrição	Habilidades necessárias
Determinar os valores das variáveis.	A implementação deste padrão inclui vários nomes de variáveis que devem ser usados de forma consistente. Determine os valores que devem ser usados para cada variável e forneça esse valor quando solicitado nas etapas subsequentes. `<AWS Account ID>`─ O ID da conta de 12 dígitos associado ao código em que Conta da AWS você está implementando esse padrão. Para obter informações sobre como encontrar seu Conta da AWS ID, consulte Como usar um alias para seu Conta da AWS ID na documentação do IAM. `<AWS Region>`─ Aquele em Região da AWS que você está implementando esse padrão. Para obter mais informações sobre Regiões da AWS, consulte Regiões e zonas de disponibilidade no AWS site. `<sample-tenant-name>`─ O nome de um inquilino a ser usado no aplicativo. Recomendamos que você use somente caracteres alfanuméricos neste valor para simplificar, mas você pode usar qualquer nome válido para uma chave de objeto do S3. `<sample-tvm-role-name>`─ O nome da função do IAM associada à função Lambda que executa o TVM e o aplicativo de amostra. O nome do perfil é uma string que consiste em caracteres alfanuméricos maiúsculos e minúsculos sem espaços. Você também pode incluir os seguintes caracteres: sublinhado (_), sinal de mais (+), sinal de igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). O nome da função deve ser exclusivo na conta. `<sample-app-role-name>`─ O nome da função do IAM que é assumida pela função Lambda quando ela gera credenciais STS temporárias e com escopo definido. O nome do perfil é uma string que consiste em caracteres alfanuméricos maiúsculos e minúsculos sem espaços. Você também pode incluir os seguintes caracteres: sublinhado (_), sinal de mais (+), sinal de igual (=), vírgula (,), ponto (.), arroba (@) e hífen (-). O nome da função deve ser exclusivo na conta. `<sample-app-function-name>`─ O nome da função Lambda. É uma string com até 64 caracteres. `<sample-app-bucket-name>`─ O nome de um bucket do S3 que deve ser acessado com permissões que têm como escopo um locatário específico. Os nomes do bucket do S3: Devem conter entre 3 e 63 caracteres. Devem consistir em apenas letras minúsculas, números, pontos (.) e hifens (-). Deve iniciar e terminar com uma letra ou um número. Não devem ser formatados como um endereço IP (por exemplo, 192.168.5.4). Deve ser exclusivo em uma partição. Uma partição é um agrupamento de regiões. AWS atualmente tem três partições: `aws` para regiões padrão, `aws-cn` para regiões da China e `aws-us-gov` para AWS GovCloud (US) Regions.	Administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Criar um ambiente do bucket do S3 para o aplicativo de exemplo.	Use o AWS CLI comando a seguir para criar um bucket do S3. Forneça o `<sample-app-bucket-name>` valor no trecho de código: `aws s3api create-bucket --bucket <sample-app-bucket-name>` O aplicativo de exemplo Lambda carrega arquivos JSON nesse bucket.	Administrador de nuvem

Criar um ambiente do bucket do S3 para o aplicativo de exemplo.

Use o AWS CLI comando a seguir para criar um bucket do S3. Forneça o <sample-app-bucket-name> valor no trecho de código:


aws s3api create-bucket --bucket <sample-app-bucket-name>

O aplicativo de exemplo Lambda carrega arquivos JSON nesse bucket.

Administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Criar um perfil TVM.	Use um dos AWS CLI comandos a seguir para criar uma função do IAM. Forneça o `<sample-tvm-role-name>` valor no comando. Para shells no macOS ou Linux: `aws iam create-role \ --role-name <sample-tvm-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "lambda.amazonaws.com" ] }, "Condition": { "StringEquals": { "aws:SourceAccount": "<AWS Account ID>" } } } ] }'` Para a linha de comando do Windows: `aws iam create-role ^ --role-name <sample-tvm-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"sts:AssumeRole\"], \"Principal\": {\"Service\": [\"lambda.amazonaws.com\"]}, \"Condition\": {\"StringEquals\": {\"aws:SourceAccount\": \"<AWS Account ID>\"}}}]}"` O aplicativo de exemplo do Lambda assume essa função quando o aplicativo é invocado. A capacidade de assumir o perfil do aplicativo com uma política de escopo fornece ao código permissões mais amplas para acessar o bucket do S3.	Administrador de nuvem
Criar uma política de função de TVM em linha.	Use um dos AWS CLI comandos a seguir para criar uma política do IAM. `<sample-tvm-role-name>`Forneça os `<sample-app-role-name>` valores `<AWS Account ID>`, e no comando. Para shells no macOS ou Linux: `aws iam put-role-policy \ --role-name <sample-tvm-role-name> \ --policy-name assume-app-role \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>" } ]}'` Para a linha de comando do Windows: `aws iam put-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-name assume-app-role ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"` Esta política é anexada à função da TVM. Dá ao código a capacidade de assumir o perfil do aplicativo que possui permissões mais amplas para acessar o bucket do S3.	Administrador de nuvem
Anexar a política gerenciada do Lambda.	Use o AWS CLI comando a seguir para anexar a política `AWSLambdaBasicExecutionRole` do IAM. Forneça o `<sample-tvm-role-name>` valor no comando: `aws iam attach-role-policy \ --role-name <sample-tvm-role-name> \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` Para a linha de comando do Windows: `aws iam attach-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` Essa política gerenciada é anexada à função TVM para permitir que o Lambda envie registros para a Amazon. CloudWatch	Administrador de nuvem

Criar um perfil TVM.

Use um dos AWS CLI comandos a seguir para criar uma função do IAM. Forneça o <sample-tvm-role-name> valor no comando.

Para shells no macOS ou Linux:


aws iam create-role \
--role-name <sample-tvm-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "lambda.amazonaws.com"
                ]
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<AWS Account ID>"
                }
            }
        }
    ]
}'

Para a linha de comando do Windows:


aws iam create-role ^
--role-name <sample-tvm-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"sts:AssumeRole\"], \"Principal\": {\"Service\": [\"lambda.amazonaws.com\"]}, \"Condition\": {\"StringEquals\": {\"aws:SourceAccount\": \"<AWS Account ID>\"}}}]}"

O aplicativo de exemplo do Lambda assume essa função quando o aplicativo é invocado. A capacidade de assumir o perfil do aplicativo com uma política de escopo fornece ao código permissões mais amplas para acessar o bucket do S3.

Administrador de nuvem

Criar uma política de função de TVM em linha.

Use um dos AWS CLI comandos a seguir para criar uma política do IAM. <sample-tvm-role-name>Forneça os <sample-app-role-name> valores <AWS Account ID>, e no comando.

Para shells no macOS ou Linux:


aws iam put-role-policy \
--role-name <sample-tvm-role-name> \
--policy-name assume-app-role \
--policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>"
        }
    ]}'

Para a linha de comando do Windows:


aws iam put-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-name assume-app-role ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"

Esta política é anexada à função da TVM. Dá ao código a capacidade de assumir o perfil do aplicativo que possui permissões mais amplas para acessar o bucket do S3.

Administrador de nuvem

Anexar a política gerenciada do Lambda.

Use o AWS CLI comando a seguir para anexar a política AWSLambdaBasicExecutionRole do IAM. Forneça o <sample-tvm-role-name> valor no comando:


aws iam attach-role-policy \
--role-name <sample-tvm-role-name> \
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Para a linha de comando do Windows:


aws iam attach-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Essa política gerenciada é anexada à função TVM para permitir que o Lambda envie registros para a Amazon. CloudWatch

Administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Criar o perfil do aplicativo.	Use um dos AWS CLI comandos a seguir para criar uma função do IAM. `<sample-app-role-name>`Forneça os `<sample-tvm-role-name>` valores`<AWS Account ID>`, e no comando. Para shells no macOS ou Linux: `aws iam create-role \ --role-name <sample-app-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>" }, "Action": "sts:AssumeRole" } ]}'` Para a linha de comando do Windows: `aws iam create-role ^ --role-name <sample-app-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"` O aplicativo de exemplo Lambda assume essa função com uma política de escopo para obter acesso baseado em inquilinos a um bucket do S3.	Administrador de nuvem
Criar uma política de função de aplicativo embutida.	Use um dos comandos a seguir AWS CLI para criar uma política do IAM. Forneça os `<sample-app-bucket-name>` valores `<sample-app-role-name>` e no comando. Para shells no macOS ou Linux: `aws iam put-role-policy \ --role-name <sample-app-role-name> \ --policy-name s3-bucket-access \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<sample-app-bucket-name>/" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<sample-app-bucket-name>" } ]}'` Para a linha de comando do Windows: `aws iam put-role-policy ^ --role-name <sample-app-role-name> ^ --policy-name s3-bucket-access ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"` Esta política é anexada ao perfil do aplicativo. Ela fornece amplo acesso aos objetos no bucket do S3. Quando o aplicativo de exemplo assume o perfil, essas permissões são atribuídas a um inquilino específico com a política gerada dinamicamente pela TVM.	Administrador de nuvem

Criar o perfil do aplicativo.

Use um dos AWS CLI comandos a seguir para criar uma função do IAM. <sample-app-role-name>Forneça os <sample-tvm-role-name> valores<AWS Account ID>, e no comando.

Para shells no macOS ou Linux:


aws iam create-role \
--role-name <sample-app-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": 
            "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>"
            },
            "Action": "sts:AssumeRole"
        }
    ]}'

Para a linha de comando do Windows:


aws iam create-role ^
--role-name <sample-app-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"

O aplicativo de exemplo Lambda assume essa função com uma política de escopo para obter acesso baseado em inquilinos a um bucket do S3.

Administrador de nuvem

Criar uma política de função de aplicativo embutida.

Use um dos comandos a seguir AWS CLI para criar uma política do IAM. Forneça os <sample-app-bucket-name> valores <sample-app-role-name> e no comando.

Para shells no macOS ou Linux:


aws iam put-role-policy \
--role-name <sample-app-role-name> \
--policy-name s3-bucket-access \
--policy-document '{
    "Version": "2012-10-17",		 	 	  
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": [
                "s3:PutObject", 
                "s3:GetObject", 
                "s3:DeleteObject"
            ], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>/*"
        }, 
        {
            "Effect": "Allow", 
            "Action": ["s3:ListBucket"], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>"
        }
    ]}'

Para a linha de comando do Windows:


aws iam put-role-policy ^
--role-name <sample-app-role-name> ^
--policy-name s3-bucket-access ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/*\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"

Esta política é anexada ao perfil do aplicativo. Ela fornece amplo acesso aos objetos no bucket do S3. Quando o aplicativo de exemplo assume o perfil, essas permissões são atribuídas a um inquilino específico com a política gerada dinamicamente pela TVM.

Administrador de nuvem

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Baixe os arquivos de origem compilados.	Baixe os arquivos `s3UploadSample.jar` e `tvm-layer.zip`, que estão incluídos como anexos. O código-fonte usado para criar esses artefatos e instruções de compilação são fornecidos em `token-vending-machine-sample-app.zip`.	Administrador de nuvem
Criar a camada do Lambda.	Use o AWS CLI comando a seguir para criar uma camada Lambda, que torna o TVM acessível ao Lambda. nota Se você não estiver executando esse comando a partir do local em que fez o download `tvm-layer.zip`, forneça o caminho correto `tvm-layer.zip` no `--zip-file` parâmetro. `aws lambda publish-layer-version \ --layer-name sample-token-vending-machine \ --compatible-runtimes java11 \ --zip-file fileb://tvm-layer.zip` Para a linha de comando do Windows: `aws lambda publish-layer-version ^ --layer-name sample-token-vending-machine ^ --compatible-runtimes java11 ^ --zip-file fileb://tvm-layer.zip` Esse comando cria uma camada Lambda que contém a biblioteca TVM reutilizável.	Administrador da nuvem, desenvolvedor de aplicativos
Criar a função do Lambda.	Use o AWS CLI comando a seguir para criar uma função Lambda. Forneça os `<sample-app-role-name>` valores `<sample-app-function-name>` `<AWS Account ID>` `<AWS Region><sample-tvm-role-name>`,`<sample-app-bucket-name>`,,, e no comando. nota Se você não estiver executando esse comando a partir do local em que fez o download`s3UploadSample.jar`, forneça o caminho correto `s3UploadSample.jar` no `--zip-file` parâmetro. `aws lambda create-function \ --function-name <sample-app-function-name> \ --timeout 30 \ --memory-size 256 \ --runtime java11 \ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \ --handler com.amazon.aws.s3UploadSample.App \ --zip-file fileb://s3UploadSample.jar \ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>, ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` Para a linha de comando do Windows: `aws lambda create-function ^ --function-name <sample-app-function-name> ^ --timeout 30 ^ --memory-size 256 ^ --runtime java11 ^ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^ --handler com.amazon.aws.s3UploadSample.App ^ --zip-file fileb://s3UploadSample.jar ^ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` Esse comando cria uma função do Lambda com o código do aplicativo de exemplo e a camada TVM anexada. Ele também define duas variáveis de ambiente: `S3_BUCKET` e `ROLE`. O aplicativo de exemplo usa essas variáveis para determinar a função a ser assumida e o bucket do S3 para o qual carregar documentos JSON.	Administrador da nuvem, desenvolvedor de aplicativos

Baixe os arquivos de origem compilados.

Baixe os arquivos s3UploadSample.jar e tvm-layer.zip, que estão incluídos como anexos. O código-fonte usado para criar esses artefatos e instruções de compilação são fornecidos em token-vending-machine-sample-app.zip.

Administrador de nuvem

Criar a camada do Lambda.

Use o AWS CLI comando a seguir para criar uma camada Lambda, que torna o TVM acessível ao Lambda.

nota

Se você não estiver executando esse comando a partir do local em que fez o download tvm-layer.zip, forneça o caminho correto tvm-layer.zip no --zip-file parâmetro.


aws lambda publish-layer-version \
--layer-name sample-token-vending-machine \
--compatible-runtimes java11 \
--zip-file fileb://tvm-layer.zip

Para a linha de comando do Windows:


aws lambda publish-layer-version ^
--layer-name sample-token-vending-machine ^
--compatible-runtimes java11 ^
--zip-file fileb://tvm-layer.zip

Esse comando cria uma camada Lambda que contém a biblioteca TVM reutilizável.

Administrador da nuvem, desenvolvedor de aplicativos

Criar a função do Lambda.

Use o AWS CLI comando a seguir para criar uma função Lambda. Forneça os <sample-app-role-name> valores <sample-app-function-name> <AWS Account ID> <AWS Region><sample-tvm-role-name>,<sample-app-bucket-name>,,, e no comando.

nota

Se você não estiver executando esse comando a partir do local em que fez o downloads3UploadSample.jar, forneça o caminho correto s3UploadSample.jar no --zip-file parâmetro.


aws lambda create-function \
--function-name <sample-app-function-name>  \
--timeout 30 \
--memory-size 256 \
--runtime java11 \
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \
--handler com.amazon.aws.s3UploadSample.App \
--zip-file fileb://s3UploadSample.jar \
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,
ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

Para a linha de comando do Windows:


aws lambda create-function ^
--function-name <sample-app-function-name>  ^
--timeout 30 ^
--memory-size 256 ^
--runtime java11 ^
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^
--handler com.amazon.aws.s3UploadSample.App ^
--zip-file fileb://s3UploadSample.jar ^
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

Esse comando cria uma função do Lambda com o código do aplicativo de exemplo e a camada TVM anexada. Ele também define duas variáveis de ambiente: S3_BUCKET e ROLE. O aplicativo de exemplo usa essas variáveis para determinar a função a ser assumida e o bucket do S3 para o qual carregar documentos JSON.

Administrador da nuvem, desenvolvedor de aplicativos

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Invocar o aplicativo de exemplo do Lambda.	Use um dos AWS CLI comandos a seguir para iniciar o aplicativo de amostra Lambda com a carga esperada. Forneça os `<sample-tenant-name>` valores `<sample-app-function-name>` e no comando. Para shells no macOS ou Linux: `aws lambda invoke \ --function <sample-app-function-name> \ --invocation-type RequestResponse \ --payload '{"tenant": "<sample-tenant-name>"}' \ --cli-binary-format raw-in-base64-out response.json` Para a linha de comando do Windows: `aws lambda invoke ^ --function <sample-app-function-name> ^ --invocation-type RequestResponse ^ --payload "{\"tenant\": \"<sample-tenant-name>\"}" ^ --cli-binary-format raw-in-base64-out response.json` Esse comando chama a função do Lambda e retorna o resultado em um documento `response.json`. Em muitos sistemas baseados em Unix, você pode alterar `response.json` para `/dev/stdout` para enviar os resultados diretamente para o shell sem criar outro arquivo. nota A alteração do `<sample-tenant-name>` valor em invocações subsequentes dessa função Lambda altera a localização do documento JSON e as permissões que o token fornece.	Administrador da nuvem, desenvolvedor de aplicativos
Visualizar o bucket do S3 para ver os objetos criados.	Navegue até o bucket do S3 (`<sample-app-bucket-name>`) que você criou anteriormente. Esse bucket contém um prefixo de objeto do S3 com o valor de. `<sample-tenant-name>` Sob esse prefixo, você encontrará um documento JSON chamado com um UUID. Invocar o aplicativo de exemplo várias vezes adiciona mais documentos JSON.	Administrador de nuvem
Veja os registros do aplicativo de amostra em CloudWatch Logs.	Visualize os registros associados à função Lambda nomeada `<sample-app-function-name>` em CloudWatch Logs. Para obter instruções, consulte Enviar registros da função Lambda para CloudWatch Logs na documentação do Lambda. Você pode visualizar a política com escopo de inquilino gerada pela TVM nesses logs. Essa política com escopo de locatário concede permissões para o aplicativo de amostra para o Amazon S3 PutObject,,, e GetObjectDeleteObjectListBucket APIs, mas somente para o prefixo de objeto associado a. `<sample-tenant-name>` Nas invocações subsequentes do aplicativo de amostra, se você alterar`<sample-tenant-name>`, o TVM atualiza a política com escopo para corresponder ao inquilino fornecido na carga de invocação. Essa política gerada dinamicamente mostra como o acesso com escopo de inquilino pode ser mantido com uma TVM em aplicativos SaaS. A funcionalidade da TVM é fornecida em uma camada Lambda para que possa ser anexada a outras funções do Lambda usadas por um aplicativo sem precisar replicar o código. Para obter uma ilustração da política gerada dinamicamente, consulte a seção Informações adicionais.	Administrador de nuvem

Invocar o aplicativo de exemplo do Lambda.

Use um dos AWS CLI comandos a seguir para iniciar o aplicativo de amostra Lambda com a carga esperada. Forneça os <sample-tenant-name> valores <sample-app-function-name> e no comando.

Para shells no macOS ou Linux:


aws lambda invoke \
--function <sample-app-function-name> \
--invocation-type RequestResponse \
--payload '{"tenant": "<sample-tenant-name>"}' \
--cli-binary-format raw-in-base64-out response.json

Para a linha de comando do Windows:


aws lambda invoke ^
--function <sample-app-function-name> ^
--invocation-type RequestResponse ^
--payload "{\"tenant\": \"<sample-tenant-name>\"}" ^
--cli-binary-format raw-in-base64-out response.json

Esse comando chama a função do Lambda e retorna o resultado em um documento response.json. Em muitos sistemas baseados em Unix, você pode alterar response.json para /dev/stdout para enviar os resultados diretamente para o shell sem criar outro arquivo.

nota

A alteração do <sample-tenant-name> valor em invocações subsequentes dessa função Lambda altera a localização do documento JSON e as permissões que o token fornece.

Administrador da nuvem, desenvolvedor de aplicativos

Visualizar o bucket do S3 para ver os objetos criados.

Navegue até o bucket do S3 (<sample-app-bucket-name>) que você criou anteriormente. Esse bucket contém um prefixo de objeto do S3 com o valor de. <sample-tenant-name> Sob esse prefixo, você encontrará um documento JSON chamado com um UUID. Invocar o aplicativo de exemplo várias vezes adiciona mais documentos JSON.

Administrador de nuvem

Veja os registros do aplicativo de amostra em CloudWatch Logs.

Visualize os registros associados à função Lambda nomeada <sample-app-function-name> em CloudWatch Logs. Para obter instruções, consulte Enviar registros da função Lambda para CloudWatch Logs na documentação do Lambda. Você pode visualizar a política com escopo de inquilino gerada pela TVM nesses logs. Essa política com escopo de locatário concede permissões para o aplicativo de amostra para o Amazon S3 PutObject,,, e GetObjectDeleteObjectListBucket APIs, mas somente para o prefixo de objeto associado a. <sample-tenant-name> Nas invocações subsequentes do aplicativo de amostra, se você alterar<sample-tenant-name>, o TVM atualiza a política com escopo para corresponder ao inquilino fornecido na carga de invocação. Essa política gerada dinamicamente mostra como o acesso com escopo de inquilino pode ser mantido com uma TVM em aplicativos SaaS.

A funcionalidade da TVM é fornecida em uma camada Lambda para que possa ser anexada a outras funções do Lambda usadas por um aplicativo sem precisar replicar o código.

Para obter uma ilustração da política gerada dinamicamente, consulte a seção Informações adicionais.

Administrador de nuvem

Recursos relacionados

Isolar inquilinos com políticas do IAM geradas dinamicamente (publicação do blog)
Aplicação de políticas de isolamento geradas dinamicamente em ambientes SaaS (postagem no blog)
SaaS ativado AWS

Mais informações

O registro a seguir mostra a política gerada dinamicamente produzida pelo código TVM nesse padrão. Nesta captura de tela, o <sample-app-bucket-name> é DOC-EXAMPLE-BUCKET e o <sample-tenant-name> étest-tenant-1. As credenciais STS retornadas por essa política de escopo não conseguem realizar nenhuma ação em objetos no bucket do S3, exceto os objetos associados ao prefixo da chave do objeto test-tenant-1.

Registro mostrando uma política gerada dinamicamente produzida pelo código TVM.

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Implante aplicativos aninhados usando o AWS SAM

Implementar o padrão de saga com tecnologia sem servidor usando o AWS Step Functions