Я намагаюся викликати лямбда-функцію через шлюз API AWS. Коли я згадую тип автентифікації NONE, це працює нормально, але API стає загальнодоступним, і кожен, хто має URL-адресу, може отримати доступ до мого API. Щоб зробити виклик API безпечним, я використовую тип автентифікації AWS_IAM, а також приєднав політику AmazonAPIGatewayInvokeFullAccess до мого користувача, але отримую цю помилку:
{ message: "Missing Authentication Token"}
Я не знаю, чого мені тут не вистачає.
Відповіді:
Я думаю, ви намагаєтесь безпосередньо отримати доступ до посилання API, це не буде працювати, оскільки API захищений за допомогою ролі IAM, і ви повинні надати аутентифікацію AWS, тобто ключ доступу та секретний ключ.
Використовуйте розширення Postman Chrome для тестування вашого API: http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html
Я втратив трохи часу з дурної причини:
Коли ви створюєте етап, відображене посилання не містить ресурсної частини URL-адреси:
URL-адреса API: https://1111.execute-api.us-east-1.amazonaws.com/dev
URL-адреса API + РЕСУРС https://1111.execute-api.us-east-1.amazonaws.com/dev/get-list
/ Отримати-лист пропускав
І звичайно, вам потрібно перевірити, чи конфігурація методу виглядає так:
У мене просто була та сама проблема, і, схоже, вона також відображає це повідомлення, якщо ресурс не вдається знайти.
У моєму випадку я оновив API, але забув передислокуватися. Проблема була вирішена після розгортання оновленого API на моїй стадії.
Схоже (станом на квітень 2019 р.) Шлюз API AWS видає цей виняток з різних причин - здебільшого, коли ти потрапляєш на кінцеву точку, до якої Шлюз API не може досягти, або через те, що він не розгорнутий, а також у випадках, коли Метод HTTP не підтримується.
Я бажаю, щоб шлюз надсилав більш відповідні коди помилок, такі як HTTP 405 Метод не підтримується або HTTP 404 не знайдений, замість загального HTTP 403 Заборонено.
Переконайтеся, що натискаєте конкретний Ресурс спочатку в дереві Stages, оскільки це заповнить URL-адресу повним шляхом до ресурсу (а не лише кореневим шляхом):
Інші причини див. На http://www.awslessons.com/2017/aws-api-gateway-missing-authentication-token/
Обов’язково створіть ресурс, а потім створіть метод усередині нього. Це було питання для мене. Дякую
Знайшов це в документах:
Якщо було використано дозвіл AWS_IAM, ви підписали б запит, використовуючи протоколи Signature Version 4.
Запит на підписання підписом версії 4
Ви також можете створити SDK для свого API.
Як створити SDK для API у шлюзі API
Після створення SDK для обраної вами платформи в кроці 6 згадується, що якщо ви використовуєте облікові дані AWS, запит до API буде підписаний:
Для ініціалізації SDK, створеного шлюзом API, за допомогою облікових даних AWS, використовуйте код, подібний до наведеного нижче. Якщо ви використовуєте облікові дані AWS, усі запити до API будуть підписані. Це означає, що ви повинні встановити відповідні заголовки CORS Accept для кожного запиту:
var apigClient = apigClientFactory.newClient({
accessKey: 'ACCESS_KEY',
secretKey: 'SECRET_KEY',
});
Якщо ви активуєте автентифікацію AWS_IAM, ви повинні підписати свій запит обліковими даними AWS, використовуючи AWS Signature версії 4 .
Примітка : вхід в консоль AWS не автоматично підписує запити вашого браузера до вашого API.
іноді це повідомлення відображається, коли ви викликаєте неправильний API
перевірте свою кінцеву точку API
Я намагаюся все вищезазначене, якщо ви виконали всі кроки у наведених вище відповідях і не вирішили проблему, тоді:
Мені здається, що через те, що, коли я створюю "ЗАПИТ МЕТОДУ" (див. Крок 2, як перейти до цього меню), в "Авторизація" я вибираю "AWS_IAM" після тестування api, у варіанті тестування aws, я пробую це в "листоноші" "тоді я розумію в" МЕТОД ЗАПИТ ", в" Авторизація ", я повинен вибрати" немає "
Я змінюю його на нічого, але, як я пояснюю, AWS мені потрібно розгорнути його знову
Ця помилка здебільшого виникає, коли ви називаєте неправильну кінцеву точку API. Перевірте свою кінцеву точку api, до якої ви телефонуєте, і перевірте це на шлюзі api.
Якщо ви використовуєте API з кінцевою точкою типу PRIVATE , переконайтеся, що:
Ви викликаєте API із вашого облікового запису AWS (приклад: із екземпляра EC2, створеного у вашому обліковому записі)
Введіть необхідні облікові дані (доступ та секретні ключі) в екземплярі EC2 у маршруті ~ / .aws / credentials (цей маршрут призначений для екземплярів Linux). Якщо користувач IAM використовує MFA, значення aws_session_token також буде потрібно.
Використовуйте URL-адресу на основі vpce (кінцева точка vpc). Приклад: curl https://vpce-0c0471b7test-jkznizi5.execute-api.us-east-1.vpce.amazonaws.com/dev/api/v1/status
Ваш екземпляр EC2 має групу безпеки, ніж дозволяє вихідний трафік до іншої групи безпеки, що належить vpce, наприклад: 
Ваша група безпеки vpce дозволяє вхідний трафік з іншої групи безпеки (попередній sg з екземпляра ec2), що належить екземпляру EC2, наприклад: 
Див .: https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html
Перш за все, перевірте, зареєстрований у вашому проекті AWS API, який ви створили у функції lamda. Для цього перейдіть до шлюзу API на консолі AWS. Якщо він не зареєстрований, зареєструйте його. Це основна причина цієї проблеми.
Ви навіть можете побачити у своєму файлі aws.export.js , що існують шляхи, що відповідають вашому API ['/items'].
Там повинен бути присутнім ваш API, інакше він не додасть маркер безпеки до запитів. Для цього просто зареєструйте його у своїй хмарній логіці проекту на консолі.
Якщо воно є, то скористайтеся вищезгаданим рішенням
http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html
Для запису, якщо ви не будете використовувати облікові дані, ця помилка також показує , коли ви встановлюєте запит валідатора в вашому методі POST / PUT до «валідації тіла, параметри рядка запиту і HEADERS», або інший варіант «рядки запиту Validate параметри та ЗАГОЛОВКИ ".... у такому випадку він буде шукати облікові дані в заголовку та відхиляти запит. Підводячи підсумок, якщо ви не маєте наміру надсилати облікові дані і хочете тримати їх відкритими, не слід встановлювати цю опцію у валідаторі запитів (встановіть її як NONE або для перевірки основного тексту)
У мене була та сама проблема, яку я вирішив наступним чином:
Тест методу GET
https://54wtstq8d2.execute-api.ap-southeast-2.amazonaws.com/dev/echo/hello
Authorization tab ->
• select type(AWS signature)
• Add AccessKey and SecretKey
Якщо ви встановили роль IAM для свого сервера, який має дозвіл AmazonAPIGatewayInvokeFullAccess, вам все одно потрібно передавати заголовки для кожного запиту. Ви можете зробити це в python за допомогою бібліотеки aws-request-auth так:
import requests
from aws_requests_auth.boto_utils import BotoAWSRequestsAuth
auth = BotoAWSRequestsAuth(
aws_host="API_ID.execute-api.us-east-1.amazonaws.com",
aws_region="us-east-1",
aws_service="execute-api"
)
response = requests.get("https://API_ID.execute-api.us-east-1.amazonaws.com/STAGE/RESOURCE", auth=auth)
Ну, для тих, хто все ще має проблему, і я справді відчуваю себе дуже тупим після усвідомлення цього, але я /itemsдодав URL-адресу за замовчуванням, додаючи api. Але я продовжував називати кінцеву точку з /api. Окреме спасибі Carlos Alberto Schneider, оскільки я зрозумів свою проблему після прочитання вашого допису.