本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制對 AWS Lambda 函數 URL 原始伺服器的存取
CloudFront 提供原始存取控制 (OAC),以限制對 Lambda 函數 URL 原始伺服器的存取。
建立新的 OAC
完成下列主題中說明的步驟,在 CloudFront 中設定新的 OAC。
重要
如果您搭配 Lambda 函數 URL 使用 PUT 或 POST 方法,您的使用者必須運算內文的 SHA256,並在將請求傳送至 CloudFront 時,在 x-amz-content-sha256 標頭中包含請求內文的承載雜湊值。Lambda 不支援未簽署的承載。
先決條件
在建立和設定 OAC 之前,您必須擁有具有 Lambda 函數 URL 做為原始伺服器的 CloudFront 分佈。若要使用 OAC,您必須指定 AWS_IAM 作為 AuthType 參數的值。如需詳細資訊,請參閱使用 Lambda 函數 URL。
授予 CloudFront 存取 Lambda 函數 URL 的許可
在您建立 OAC 或在 CloudFront 分佈中設定它之前,請確定 CloudFront 具有存取 Lambda 函數 URL 的許可。在建立 CloudFront 分佈之後,但在將 OAC 新增至分佈組態中的 Lambda 函數 URL 之前,請執行此作業。
注意
若要更新 Lambda 函數 URL 的 IAM 政策,您必須使用 AWS Command Line Interface (AWS CLI)。目前不支援在 Lambda 主控台中編輯 IAM 政策。
下列 AWS CLI 命令會授予 CloudFront 服務主體 (cloudfront.amazonaws.com) 存取 Lambda 函數 URL 的權限。使用政策中的 Condition 元素,僅當請求代表包含 Lambda 函數 URL 的 CloudFront 分佈時,才允許 CloudFront 存取 Lambda。這是您要新增 OAC 的 Lambda 函數 URL 原始伺服器分佈。
範例 : AWS CLI command 更新政策,以允許啟用 OAC 之 CloudFront 分佈的唯讀存取
下列 AWS CLI 命令允許 CloudFront 分佈 (E1PDK09ESKHJWTFUNCTION_URL_NAME
aws lambda add-permission \ --statement-id "AllowCloudFrontServicePrincipal" \ --action "lambda:InvokeFunctionUrl" \ --principal "cloudfront.amazonaws.com" \ --source-arn "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT" \ --function-nameFUNCTION_URL_NAME
aws lambda add-permission \ --statement-id "AllowCloudFrontServicePrincipalInvokeFunction" \ --action "lambda:InvokeFunction" \ --principal "cloudfront.amazonaws.com" \ --source-arn "arn:aws:cloudfront::123456789012:distribution/E1PDK09ESKHJWT" \ --function-nameFUNCTION_URL_NAME
注意
如果您建立分佈且沒有 Lambda 函數 URL 的許可,您可以從 CloudFront 主控台選擇複製 CLI 命令,然後從命令列終端機輸入此命令。如需詳細資訊,請參閱 AWS Lambda 開發人員指南中的授予函數對 AWS 服務的存取。
建立 OAC
若要建立 OAC,您可以使用 AWS 管理主控台 CloudFormation、 AWS CLI、 或 CloudFront API。
原始存取控制的進階設定
CloudFront OAC 功能包含僅適用於特定使用案例的進階設定。除非您對進階設定有特定需求,否則請使用建議的設定。
OAC 包含名為簽署行為 (在 主控台中) 或 SigningBehavior(在 API、CLI 和 中) 的設定 CloudFormation。此設定提供下列選項:
- 永遠簽署原始請求 (建議設定)
-
我們建議使用此設定,於主控台中名為Sign requests (recommended) (簽署請求 (建議使用)),或於 API、CLI 和 CloudFormation中的
always。使用此設定時,CloudFront 一律會簽署傳送至 Lambda 函數 URL 的所有請求。 - 絕不簽署原始伺服器請求
-
此設定於主控台中命名為 Do not sign requests (請勿簽署請求),或 API、CLI 和 CloudFormation中的
never。使用此設定,關閉使用此 OAC 之所有分佈中的所有原始伺服器的 OAC。與從所有使用其原始伺服器和分佈中逐一移除 OAC 相比,此可節省時間和精力。使用此設定時,CloudFront 不會簽署傳送至 Lambda 函數 URL 的任何請求。警告
若要使用此設定,Lambda 函數 URL 必須可公開存取。如果您對無法公開存取的 Lambda 函數 URL 使用此設定,CloudFront 將無法存取該原始伺服器。Lambda 函數 URL 會將錯誤傳回 CloudFront,而 CloudFront 會將這些錯誤傳遞給檢視器。如需詳細資訊,請參閱 AWS Lambda 使用者指南中的 Lambda 函數 URL 的安全性和驗證模型。
- 請勿覆寫檢視器 (用戶端)
Authorization標題 -
此設定於主控台中命名為 Do not override authorization header (請勿覆寫授權標頭),或於 API、CLI 和 CloudFormation中的
no-override。如果您想要 CloudFront 僅於對應的檢視器請求不包含Authorization標題時簽署原始伺服器請求,請使用此設定。利用此設定,當檢視器請求存在時,CloudFront 會傳遞來自檢視器請求的Authorization標題,但在檢視器請求不包含Authorization標題時對原始伺服器請求進行簽名 (新增其自己的Authorization標題)。警告
-
如果您使用此設定,則必須為 Lambda 函數 URL 指定簽章第 4 版簽署,而不是 CloudFront 分佈的名稱或 CNAME。當 CloudFront 將
Authorization標頭從檢視器請求轉送至 Lambda 函數 URL 時,Lambda 會根據 Lambda URL 網域的主機驗證簽署。如果簽署不是以 Lambda URL 網域為基礎,則簽署中的主機與 Lambda URL 原始伺服器所使用的主機不相符。這表示請求將會失敗,導致簽署驗證錯誤。
-
如要從檢視器請求傳遞
Authorization標題,您必須將Authorization標題新增至快取政策中,適用於使用與此原始存取控制相關聯之 Lambda 函數 URL 的所有快取行為。
-
範本程式碼範例
如果您的 CloudFront 原始伺服器是與 OAC 相關聯的 Lambda 函數 URL,您可以使用下列 Python 指令碼,透過 POST 方法將檔案上傳至 Lambda 函數。
此程式碼假設您已將預設簽署行為設定為永遠簽署原始請求的 OAC,且未選取請勿覆寫授權標頭設定。
此組態允許 OAC 使用 Lambda 主機名稱,以 Lambda 正確管理 SigV4 授權。承載是從 Lambda 函數 URL 授權的 IAM 身分使用 SigV4 簽署,該身分指定為 IAM_AUTH 類型。
範本示範如何處理來自用戶端 POST 請求的 x-amz-content-sha256 標頭中簽署的承載雜湊值。具體而言,此範本旨在管理表單資料承載。範本可透過 CloudFront 將安全檔案上傳至 Lambda 函數 URL,並使用 AWS 身分驗證機制來確保只有授權的請求才能存取 Lambda 函數。
程式碼包含下列功能:
-
符合在 x-amz-content-sha256 標頭中包含承載雜湊的需求
-
使用 SigV4 身分驗證進行安全 AWS 服務 存取
-
支援使用分段表單資料上傳檔案
-
包含請求例外狀況的錯誤處理
import boto3 from botocore.auth import SigV4Auth from botocore.awsrequest import AWSRequest import requests import hashlib import os def calculate_body_hash(body): return hashlib.sha256(body).hexdigest() def sign_request(request, credentials, region, service): sigv4 = SigV4Auth(credentials, service, region) sigv4.add_auth(request) def upload_file_to_lambda(cloudfront_url, file_path, region): # AWS credentials session = boto3.Session() credentials = session.get_credentials() # Prepare the multipart form-data boundary = "------------------------boundary" # Read file content with open(file_path, 'rb') as file: file_content = file.read() # Get the filename from the path filename = os.path.basename(file_path) # Prepare the multipart body body = ( f'--{boundary}\r\n' f'Content-Disposition: form-data; name="file"; filename="{filename}"\r\n' f'Content-Type: application/octet-stream\r\n\r\n' ).encode('utf-8') body += file_content body += f'\r\n--{boundary}--\r\n'.encode('utf-8') # Calculate SHA256 hash of the entire body body_hash = calculate_body_hash(body) # Prepare headers headers = { 'Content-Type': f'multipart/form-data; boundary={boundary}', 'x-amz-content-sha256': body_hash } # Create the request request = AWSRequest( method='POST', url=cloudfront_url, data=body, headers=headers ) # Sign the request sign_request(request, credentials, region, 'lambda') # Get the signed headers signed_headers = dict(request.headers) # Print request headers before sending print("Request Headers:") for header, value in signed_headers.items(): print(f"{header}: {value}") try: # Send POST request with signed headers response = requests.post( cloudfront_url, data=body, headers=signed_headers ) # Print response status and content print(f"\nStatus code: {response.status_code}") print("Response:", response.text) # Print response headers print("\nResponse Headers:") for header, value in response.headers.items(): print(f"{header}: {value}") except requests.exceptions.RequestException as e: print(f"An error occurred: {e}") # Usage cloudfront_url = "https://d111111abcdef8.cloudfront.net" file_path = r"filepath" region = "us-east-1" # example: "us-west-2" upload_file_to_lambda(cloudfront_url, file_path, region)
