S3-Bucket Lambda-Event: kann Nicht überprüfen Sie die folgenden Ziel-Konfigurationen

Ich versuche zu erstellen, die einem S3-bucket und sofort weisen ein lambda-Benachrichtigung-Ereignis, um es.

Hier ist der node test-Skript, das ich schrieb:

const aws = require('aws-sdk');
const uuidv4 = require('uuid/v4');

aws.config.update({
  accessKeyId: 'key',
  secretAccessKey:'secret',
  region: 'us-west-1'
});

const s3 = new aws.S3();

const params = {
  Bucket: `bucket-${uuidv4()}`,
  ACL: "private",
  CreateBucketConfiguration: {
    LocationConstraint: 'us-west-1'
  }
};

s3.createBucket(params, function (err, data) {
  if (err) {
    throw err;
  } else {
    const bucketUrl = data.Location;

    const bucketNameRegex = /bucket-[a-z0-9\-]+/;
    const bucketName = bucketNameRegex.exec(bucketUrl)[0];

    const params = {
      Bucket: bucketName,
      NotificationConfiguration: {
        LambdaFunctionConfigurations: [
          {
            Id: `lambda-upload-notification-${bucketName}`,
            LambdaFunctionArn: 'arn:aws:lambda:us-west-1:xxxxxxxxxx:function:respondS3Upload',
            Events: ['s3:ObjectCreated:CompleteMultipartUpload']
          },
        ]
      }
    };

    //Throws "Unable to validate the following destination configurations" until an event is manually added and deleted from the bucket in the AWS UI Console
    s3.putBucketNotificationConfiguration(params, function(err, data) {
      if (err) {
        console.error(err);
        console.error(this.httpResponse.body.toString());
      } else {
        console.log(data);
      }
    });
  }
});

Die Schöpfung funktioniert gut, aber das aufrufen s3.putBucketNotificationConfiguration von der aws-sdk wirft:

{ InvalidArgument: Unable to validate the following destination configurations
    at Request.extractError ([...]/node_modules/aws-sdk/lib/services/s3.js:577:35)
    at Request.callListeners ([...]/node_modules/aws-sdk/lib/sequential_executor.js:105:20)
    at Request.emit ([...]/node_modules/aws-sdk/lib/sequential_executor.js:77:10)
    at Request.emit ([...]/node_modules/aws-sdk/lib/request.js:683:14)
    at Request.transition ([...]/node_modules/aws-sdk/lib/request.js:22:10)
    at AcceptorStateMachine.runTo ([...]/node_modules/aws-sdk/lib/state_machine.js:14:12)
    at [...]/node_modules/aws-sdk/lib/state_machine.js:26:10
    at Request.<anonymous> ([...]/node_modules/aws-sdk/lib/request.js:38:9)
    at Request.<anonymous> ([...]/node_modules/aws-sdk/lib/request.js:685:12)
    at Request.callListeners ([...]/node_modules/aws-sdk/lib/sequential_executor.js:115:18)
  message: 'Unable to validate the following destination configurations',
  code: 'InvalidArgument',
  region: null,
  time: 2017-11-10T02:55:43.004Z,
  requestId: '9E1CB35811ED5828',
  extendedRequestId: 'tWcmPfrAu3As74M/0sJL5uv+pLmaD4oBJXwjzlcoOBsTBh99iRAtzAloSY/LzinSQYmj46cwyfQ=',
  cfId: undefined,
  statusCode: 400,
  retryable: false,
  retryDelay: 4.3270874729153475 }

<?xml version="1.0" encoding="UTF-8"?>
<Error>
    <Code>InvalidArgument</Code>
    <Message>Unable to validate the following destination configurations</Message>
    <ArgumentName1>arn:aws:lambda:us-west-1:xxxxxxxxxx:function:respondS3Upload, null</ArgumentName1>
    <ArgumentValue1>Not authorized to invoke function [arn:aws:lambda:us-west-1:xxxxxxxxxx:function:respondS3Upload]</ArgumentValue1>
    <RequestId>9E1CB35811ED5828</RequestId>
    <HostId>tWcmPfrAu3As74M/0sJL5uv+pLmaD4oBJXwjzlcoOBsTBh99iRAtzAloSY/LzinSQYmj46cwyfQ=</HostId>
</Error>

Ich habe es mit einer Rolle zugeordnet sind, mit lambda, was ich denke, sind all die Maßnahmen, die es braucht. Ich könnte etwas fehlen. Ich bin mit meinem root-Zugriff-Tasten, um dieses Skript auszuführen.

S3-Bucket Lambda-Event: kann Nicht überprüfen Sie die folgenden Ziel-Konfigurationen

Habe ich gedacht, es könnte ein timing-Fehler an, wenn S3 braucht Zeit, um den Eimer vor der Zugabe der Veranstaltung, aber ich habe eine Weile gewartet, hardcoded die bucket-Namen ein, und führen Sie das Skript erneut die wirft den gleichen Fehler.

Die seltsame Sache ist, dass, wenn ich Falle hook in der S3-UI und sofort zu löschen, mein Skript funktioniert, wenn ich fest, dass Eimer Namen hinein. Es scheint, wie das erstellen das Ereignis im UI-fügt einige Berechtigungen benötigt, aber ich bin mir nicht sicher, was das wäre in der SDK oder in der console UI.

S3-Bucket Lambda-Event: kann Nicht überprüfen Sie die folgenden Ziel-Konfigurationen

Irgendwelche Gedanken oder Dinge zu versuchen? Vielen Dank für Ihre Hilfe

InformationsquelleAutor Scotty Waggoner | 2017-11-10

23

Sie erhalten diese Nachricht, weil Sie Ihren s3-bucket fehlenden Berechtigungen für das aufrufen Ihres lambda-Funktion.

Laut AWS-Dokumentation! es gibt zwei Arten von Berechtigungen erforderlich:
1. Berechtigungen für Ihre Lambda-Funktion zum aufrufen von Diensten
2. Berechtigungen für Amazon S3 zum aufrufen Ihres Lambda-Funktion
Erstellen Sie ein Objekt des Typs "AWS::Lambda::Permission' und es sollte ähnlich wie diese Aussehen:
```
{
  "Version": "2012-10-17",
  "Id": "default",
  "Statement": [
    {
      "Sid": "<optional>",
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "<ArnToYourFunction>",
      "Condition": {
        "StringEquals": {
          "AWS:SourceAccount": "<YourAccountId>"
        },
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:s3:::<YourBucketName>"
        }
      }
    }
  ]
}
```
- Tolle Beratung! Dieser arbeitete für mich.
- Wo sollte ich hinzufügen, dass die oben genannten policy-Dokument?
- Das Objekt AWS::Lambda::Permission hat Eigenschaften wie SourceArn etc. nach der S3-Dokumentation. Ich sehe nicht ein policy-Dokument prop gibt. Siehe auch docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/...
- Er ist eher um diese Fehler aus einem impliziten zirkuläre Abhängigkeit, wie beschrieben unter aws.amazon.com/premiumsupport/knowledge-center/...
- Große, fügen Sie die Erlaubnis zunächst und erstellen dann-Benachrichtigung-Konfiguration!
- wir stehen vor diesem gleichen Problem.wo müssen wir hinzufügen, diese Politik?
InformationsquelleAutor davor.obilinovic
4

Schließlich sah das wieder nach einem Jahr. Dies war ein hackathon Projekt vom letzten Jahr, dass wir revisted. @davor.obilinovic Antwort war sehr hilfreich, verweist mich auf die Lambda-Berechtigung, die ich brauchte, um hinzuzufügen. Noch hat mich ein wenig, um herauszufinden, genau das, was ich brauchte, es zu schauen, wie.

Hier sind die AWS-JavaScript-SDK und Lambda-API-docs
https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/Lambda.html#addPermission-property
https://docs.aws.amazon.com/lambda/latest/dg/API_AddPermission.html

JS-SDK-docs-diese Zeile:
```
SourceArn: "arn:aws:s3:::examplebucket/*",
```
Ich konnte es nicht arbeiten für die längste Zeit und war noch immer das Unable to validate the following destination configurations Fehler.

Ändern, um
```
SourceArn: "arn:aws:s3:::examplebucket",
```
behoben, das Problem. Die /* war offensichtlich falsch, und ich sollte haben schaute auf die Antwort, die ich bekam hier mehr dicht, jedoch wurde versucht, die Folgen der AWS-docs.

Nach der Entwicklung für eine Weile, und erstellen viele Eimer, Lambda-Berechtigungen und S3 Lambda-Benachrichtigungen, aufrufen von addPermission begann, werfen The final policy size (...) is bigger than the limit (20480). neue, individuelle Berechtigungen für jede Gruppe fügt Sie der Unterseite der Lambda-Funktion von Politik und offenbar, die Politik hat eine max Größe.

Die Politik scheint nicht bearbeitet werden, in der AWS-Management-Konsole so viel Spaß hatte ich beim löschen jeder Eintrag mit dem SDK. Ich kopierte die Politik JSON, zog die Sids aus und rief removePermission in einer Schleife (die warf limit Fehler und ich musste es viele Male).

Schließlich entdeckte ich, dass das weglassen der SourceArn Schlüssel geben Lambda-Berechtigung für alle S3-buckets.

Hier mein letzter code mit dem SDK hinzufügen der Berechtigung, den ich brauchte. Ich lief nur dieses eine mal für meine Funktion.
```
const aws = require('aws-sdk');

aws.config.update({
  accessKeyId:     process.env.AWS_ACCESS,
  secretAccessKey: process.env.AWS_SECRET,
  region:          process.env.AWS_REGION,
});

//Creates Lambda Function Policy which must be created once for each Lambda function
//Must be done before calling s3.putBucketNotificationConfiguration(...)
function createLambdaPermission() {
  const lambda = new aws.Lambda();

  const params = {
    Action:        'lambda:InvokeFunction',
    FunctionName:  process.env.AWS_LAMBDA_ARN,
    Principal:     's3.amazonaws.com',
    SourceAccount: process.env.AWS_ACCOUNT_ID,
    StatementId:   `example-S3-permission`,
  };

  lambda.addPermission(params, function (err, data) {
    if (err) {
      console.log(err);
    } else {
      console.log(data);
    }
  });
}
```
- OMG!!!!! Bei mir hat es geklappt! Die Dokumentation Beispiel ist völlig falsch und verschwendet meine halben Tag ! boto3.amazonaws.com/v1/documentation/api/latest/reference/...
- Vielen Dank! Ich bin sicher, er arbeitete für einige Zeit mit '/*', aber nach einem update bekam ich Fehler. Nach der Veränderung ist es, funktioniert es wieder!
InformationsquelleAutor Scotty Waggoner
0

Die Konsole ist eine weitere Möglichkeit, den s3 zum aufrufen einer lambda:

Hinweis

Beim hinzufügen eines trigger auf Ihre Funktion mit der Lambda-Konsole, die
Konsole aktualisiert die Funktion der resource-based policy " zu ermöglichen
service um es aufzurufen. Zum erteilen von Berechtigungen für andere Konten oder
Dienste, die nicht verfügbar sind in der Lambda-Konsole, verwenden Sie die AWS CLI.

So dass Sie nur müssen hinzufügen und konfigurieren (s3) auslösen, um Ihr von aws lambda-Konsole

https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html
- Wahr. Anfangs dachte ich ich hatte, um einen neuen Berechtigungseintrag für jeden Eimer. Meine Eimer wurden dynamisch erstellt. Das weglassen der SourceArn und indem nur eine einzelne Berechtigung für alle Perioden ist die Lösung und deshalb die Schaffung einer einzigen Genehmigung durch die web-Konsole sollte genauso gut funktionieren.
InformationsquelleAutor Spiff
0

Für mich war es die Lambda erwarten Berechtigung über den gesamten Eimer und nicht den Eimer und die Tasten

InformationsquelleAutor supa_command

Wenn es immer noch nützlich für jemand, das ist, wie ich hinzufügen, die Erlaubnis, die lambda-Funktion, die mit java:

AWSLambda client = AWSLambdaClientBuilder.standard().withRegion(clientRegion).build();

AddPermissionRequest requestLambda = new AddPermissionRequest()
                    .withFunctionName("XXXXX")
                    .withStatementId("XXXXX")
                    .withAction("lambda:InvokeFunction")
                    .withPrincipal("s3.amazonaws.com")
                    .withSourceArn("arn:aws:s3:::XXXXX" )
                    .withSourceAccount("XXXXXX");

                    client.addPermission(requestLambda);

Bitte überprüfen
https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/lambda/AWSLambda.html#addPermission-com.amazonaws.services.lambda.model.AddPermissionRequest-

InformationsquelleAutor James130490

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.