本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制對 AWS Lambda 函數 URL 來源的訪問
CloudFront 提供來源存取控制 (OAC),以限制對 Lambda 函數 URL 來源的存取。
建立新的 OAC
完成下列主題中描述的步驟,以在中 CloudFront設定新的 OAC。
注意
如果您將PUT
或POST
方法與 Lambda 函數 URL 搭配使用,則使用者在將請求傳送至時必須在x-amz-content-sha256
標頭中包含承載雜湊值 CloudFront。Lambda 不支持未簽名的有效載荷。
必要條件
在建立和設定 OAC 之前,您必須擁有一個以 Lambda 函數 URL 作為來源的 CloudFront 發佈。如需詳細資訊,請參閱 使用 Lambda 函數 URL。
授與 OAC 存取 Lambda 函數 URL 的權限
在您建立 OAC 或在 CloudFront 發佈中進行設定之前,請確定 OAC 具有存取 Lambda 函數 URL 的權限。在建立分發之後,但在您將 OAC 新增至 CloudFront發佈組態中的 Lambda 函數 URL 之前,請執行此動作。
注意
若要更新 Lambda 函數 URL 的 IAM 政策,您必須使用 AWS Command Line Interface (AWS CLI)。目前不支援在 Lambda 主控台中編輯身分與存取權管理政策。
下列 AWS CLI 命令會授與 CloudFront 服務主體 (cloudfront.amazonaws.com
) 存取您的 Lambda 函數 URL。只有當請求代表包含 Lambda 函數 URL 的 CloudFront 發佈時,政策中的Condition
元素才允許 CloudFront 存取 Lambda。
範例 : 更新原則以允許 CloudFront OAC 唯讀存取的 AWS CLI 命令
以下 AWS CLI 命令允許 CloudFront 分發(
)訪問您的 Lambda E1PDK09ESKHJWT
。FUNCTION_URL_NAME
aws lambda add-permission \ --statement-id "AllowCloudFrontServicePrincipal" \ --action "lambda:InvokeFunctionUrl" \ --principal "cloudfront.amazonaws.com" \ --source-arn "arn:aws:cloudfront::
123456789012
:distribution/E1PDK09ESKHJWT
" \ --function-nameFUNCTION_URL_NAME
注意
如果您建立發行版,但它沒有 Lambda 函數 URL 的權限,您可以從 CloudFront主控台選擇複製 CLI 命令,然後從命令列終端機輸入此命令。如需詳細資訊,請參閱AWS Lambda 開發人員指南 AWS 服務中的授予函數存取權。
建立 OAC
若要建立 OAC,您可以使用 AWS Management Console AWS CloudFormation、 AWS CLI、或 CloudFront API。
原始存取控制的進階設定
CloudFront OAC 功能包含僅適用於特定使用案例的進階設定。除非您對進階設定有特定需求,否則請使用建議的設定。
OAC 包含名為簽署行為 (在主控台中) 或 SigningBehavior
(在 API、CLI 和 AWS CloudFormation) 的設定。此設定提供下列選項:
- 永遠簽署原始請求 (建議設定)
-
我們建議使用此設定,於主控台中名為Sign requests (recommended) (簽署請求 (建議使用)),或於 API、CLI 和 AWS CloudFormation中的
always
。使用此設定 CloudFront 時,永遠會簽署傳送至 Lambda 函數 URL 的所有要求。 - 絕不簽署原始伺服器請求
-
此設定於主控台中命名為 Do not sign requests (請勿簽署請求),或 API、CLI 和 AWS CloudFormation中的
never
。使用此設定可關閉使用此 OAC 之所有發行版中所有來源的 OAC。與從使用它的所有來源和發行版中逐個移除 OAC 相比,這可以節省時間和精力。使用此設定時, CloudFront 不會簽署傳送至 Lambda 函數 URL 的任何要求。警告
若要使用此設定,Lambda 函數 URL 必須可公開存取。如果您將此設定與無法公開存取的 Lambda 函數 URL 搭配使用,則 CloudFront 無法存取來源。Lambda 函數 URL 會傳回錯誤, CloudFront 並將這些錯誤傳 CloudFront 送給檢視者。如需詳細資訊,請參閱AWS Lambda 使用者指南中的 Lambda 函數 URL 的安全性和驗證模型。
- 請勿覆寫檢視器 (用戶端)
Authorization
標題 -
此設定於主控台中命名為 Do not override authorization header (請勿覆寫授權標頭),或於 API、CLI 和 AWS CloudFormation中的
no-override
。如果您只想在對應的檢視器 CloudFront 要求不包含Authorization
標頭時簽署原始請求,請使用此設定。使用此設定時,會在檢視器要求存在時 CloudFront 傳遞來自檢視器要求的Authorization
標頭,但是當檢視器要求未包含Authorization
標頭時,會簽署原始要求 (新增其自己的Authorization
標頭)。警告
-
如果使用此設定,則必須為 Lambda 函數 URL 指定簽名版本 4 簽署,而不是 CloudFront 分發的名稱或 CNAME。 CloudFront 將
Authorization
標頭從檢視器請求轉寄至 Lambda 函數 URL 時,Lambda 會根據 Lambda URL 網域的主機驗證簽章。如果簽名不是以 Lambda URL 網域為基礎,簽章中的主機就不會與 Lambda URL 來源所使用的主機相符。這意味著請求將失敗,導致簽名驗證錯誤。
-
若要從檢視器要求傳遞
Authorization
標頭,您必須針對使用與此原始存取控制相關聯的 Lambda 函數 URL 的所有快取行為,將Authorization
標頭新增至快取政策。
-