使用 AWS Lambda 權杖自動販賣機為亞馬遜 S3 實作 SaaS 租用戶隔離

由虎斑病房（AWS），斯拉文·佩里亞坦比（AWS）和托馬斯·戴維斯（AWS）創建

環境：PoC 或飛行員

技術：現代化；軟體即服務

AWS 服務：AWS 身分和存取管理；AWS Lambda；亞馬遜 S3；AWS STS

總結

多租戶 SaaS 應用程式必須實作系統，以確保維護租用戶隔離。當您將租用戶資料存放在相同的 Amazon Web 服務 (AWS) 資源 (例如多個租用戶在同一個 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體中存放資料時，您必須確保不會發生跨租戶存取。令牌自動售貨機（TVM）是提供租戶數據隔離的一種方法。這些機器提供了一種獲取令牌的機制，同時抽象生成這些令牌的複雜性。開發人員可以使用 TVM，而無需詳細了解它如何生成令牌。

這種模式通過使用 AWS 拉姆達實現一個 TVM。TVM 會產生一個包含臨時安全性權杖服務 (STS) 登入資料的權杖，這些登入資料會限制對 S3 儲存貯體中單一 SaaS 租用戶資料的存取。

TVM 和此模式提供的程式碼通常與衍生自 JSON Web Token (JWT) 的宣告搭配使用，以將 AWS 資源的請求與承租人範圍的 AWS 身分和存取管理 (IAM) 政策建立關聯。您可以使用此模式中的代碼作為基礎來實現 SaaS 應用程序，該應用程序根據 JWT 令牌中提供的聲明生成範圍的臨時 STS 憑據。

先決條件和限制

先決條件

作用中的 AWS 帳戶
AWS 命令列界面版本 1.19.0 或更新版本，在 MacOS、Linux 或視窗上安裝和配置。或者，您也可以使用 AWS CLI2.1 版或更新版本。

限制

此代碼以 Java 運行，目前不支持其他編程語言。
範例應用程式不包含 AWS 跨區域或災難復原 (DR) 支援。
此模式示範 SaaS 應用程式的 Lambda TVM 如何提供範圍的租用戶存取。它不打算在生產環境中使用。

架構

目標技術堆疊

AWS Lambda
Amazon S3
IAM
AWS Security Token Service (AWS STS)

目標架構

工具

AWS 服務

AWS 命令列界面是一種開放原始碼工具，可協助您透過命令列殼層中的命令與 AWS 服務互動。
AWS 身分和存取管理 (IAM)透過控制已驗證和授權使用 AWS 資源的使用者，協助您安全地管理對 AWS 資源的存取。
AWS 拉姆達是一種運算服務，可協助您執行程式碼，而不需要佈建或管理伺服器。它只會在需要時執行程式碼並自動調整規模，因此您只需為使用的運算時間付費。
AWS 安全令牌服務可協助您為使用者要求臨時、有限權限的認證。
亞馬遜簡單存儲服務（亞馬遜 S3）是一種基於雲的對象存儲服務，可幫助您存儲，保護和檢索任何數量的數據。

Code

此模式的原始程式碼可作為附件使用，並包含下列檔案：

s3UploadSample.jar提供 Lambda 函數的原始程式碼，該函數會將 JSON 文件上傳到 S3 儲存貯體。
tvm-layer.zip提供可重複使用的 Java 程式庫，為 Lambda 函數提供權杖 (STS 臨時登入資料)，以存取 S3 儲存貯體並上傳 JSON 文件。
token-vending-machine-sample-app.zip提供用來建立這些成品和編譯指示的原始程式碼。

若要使用這些檔案，請遵循下一節中的指示。

史诗

任務描述所需技能

任務	描述	所需技能
確定變量值。	此模式的實現包括幾個必須一致使用的變量名稱。決定應用於每個變數的值，並在後續步驟中提出要求時提供該值。 <AWS Account ID>─與您實作此模式的 AWS 帳戶相關聯的 12 位數帳戶 ID。如需如何尋找您的 AWS cccount ID 的相關資訊，請參閱您的 AWS 帳戶 ID 及其別名在 IAM 文檔中。 <AWS Region>─您要在其中實作此模式的 AWS 區域。如需 AWS 區域的詳細資訊，請參閱區域和可用區域在 AWS 網站上。 <sample-tenant-name> ─要在應用程式中使用的承租人名稱。為了簡單起見，我們建議您僅在此值中使用英數字元，但您可以使用任何字元S3 物件金鑰的有效名稱。 <sample-tvm-role-name> ─附加至執行 TVM 和範例應用程式之 Lambda 函數的 IAM 角色名稱。角色名稱是由不含空格的大寫和小寫字母數字字元組成的字串。您也可以包含下列任何字元：底線 (_)、加號 (+)、等號 (=)、逗號 (,)、句點 (.)、@符號和連字號 (-)。角色名稱在帳戶內必須是唯一的。 <sample-app-role-name> ─當 Lambda 函數產生範圍的臨時 STS 登入資料時，由 Lambda 函數假設的 IAM 角色名稱。角色名稱是由不含空格的大寫和小寫字母數字字元組成的字串。您也可以包含下列任何字元：底線 (_)、加號 (+)、等號 (=)、逗號 (,)、句點 (.)、@符號和連字號 (-)。角色名稱在帳戶內必須是唯一的。 <sample-app-function-name> ─拉姆達函數的名稱。這是一個長度最多 64 個字符的字符串。 <sample-app-bucket-name> ─必須使用範圍為特定租用戶的權限存取的 S3 儲存貯體的名稱。S3 儲存貯體名稱：長度必須介於 3 與 63 個字元之間。必須僅由小寫字母、數字、句點 (.) 和連字號 (-) 組成。必須以字母或數字開頭和結尾。不得採用 IP 地址格式 (例如，192.168.5.4)。在分割區內必須是唯一的。分割區是區域的群組。AWS 目前有三個分割區：`aws` (標準區域)、`aws-cn`（中國地區），以及`aws-us-gov`（AWSGovCloud[美國] 地區）。	雲端管理員

確定變量值。

此模式的實現包括幾個必須一致使用的變量名稱。決定應用於每個變數的值，並在後續步驟中提出要求時提供該值。

<AWS Account ID>─與您實作此模式的 AWS 帳戶相關聯的 12 位數帳戶 ID。如需如何尋找您的 AWS cccount ID 的相關資訊，請參閱您的 AWS 帳戶 ID 及其別名在 IAM 文檔中。

<AWS Region>─您要在其中實作此模式的 AWS 區域。如需 AWS 區域的詳細資訊，請參閱區域和可用區域在 AWS 網站上。

<sample-tenant-name> ─要在應用程式中使用的承租人名稱。為了簡單起見，我們建議您僅在此值中使用英數字元，但您可以使用任何字元S3 物件金鑰的有效名稱。

<sample-tvm-role-name> ─附加至執行 TVM 和範例應用程式之 Lambda 函數的 IAM 角色名稱。角色名稱是由不含空格的大寫和小寫字母數字字元組成的字串。您也可以包含下列任何字元：底線 (_)、加號 (+)、等號 (=)、逗號 (,)、句點 (.)、@符號和連字號 (-)。角色名稱在帳戶內必須是唯一的。

<sample-app-role-name> ─當 Lambda 函數產生範圍的臨時 STS 登入資料時，由 Lambda 函數假設的 IAM 角色名稱。角色名稱是由不含空格的大寫和小寫字母數字字元組成的字串。您也可以包含下列任何字元：底線 (_)、加號 (+)、等號 (=)、逗號 (,)、句點 (.)、@符號和連字號 (-)。角色名稱在帳戶內必須是唯一的。

<sample-app-function-name> ─拉姆達函數的名稱。這是一個長度最多 64 個字符的字符串。

<sample-app-bucket-name> ─必須使用範圍為特定租用戶的權限存取的 S3 儲存貯體的名稱。S3 儲存貯體名稱：

長度必須介於 3 與 63 個字元之間。
必須僅由小寫字母、數字、句點 (.) 和連字號 (-) 組成。
必須以字母或數字開頭和結尾。
不得採用 IP 地址格式 (例如，192.168.5.4)。
在分割區內必須是唯一的。分割區是區域的群組。AWS 目前有三個分割區：aws (標準區域)、aws-cn（中國地區），以及aws-us-gov（AWSGovCloud[美國] 地區）。

雲端管理員

任務描述所需技能

任務	描述	所需技能
為範例應用程式建立 S3 儲存貯體。	使用下列 AWS CLI 命令建立 S3 儲存貯體。提供<sample-app-bucket-name>代碼片段中的值： `aws s3api create-bucket --bucket <sample-app-bucket-name>` Lambda 範例應用程式會將 JSON 檔案上傳到此儲存貯體。	雲端管理員

為範例應用程式建立 S3 儲存貯體。

使用下列 AWS CLI 命令建立 S3 儲存貯體。提供<sample-app-bucket-name>代碼片段中的值：


aws s3api create-bucket --bucket <sample-app-bucket-name>

Lambda 範例應用程式會將 JSON 檔案上傳到此儲存貯體。

雲端管理員

任務描述所需技能

任務	描述	所需技能
建立 TVM 角色。	使用下列其中一個 AWS CLI 命令建立 IAM 角色。提供<sample-tvm-role-name>指令中的值。對於 macOS 或外殼： `aws iam create-role \ --role-name <sample-tvm-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}'` 對於視窗命令列： `aws iam create-role ^ --role-name <sample-tvm-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Principal\": {\"Service\": \"lambda.amazonaws.com\"}, \"Action\": \"sts:AssumeRole\"}]}"` 呼叫應用程式時，Lambda 範例應用程式會擔任此角色。假設具有範圍政策的應用程式角色的功能，可為程式碼提供更廣泛的存取 S3 儲存貯體的許可。	雲端管理員
建立內嵌 TVM 角色原則。	使用下列其中一個 AWS CLI 命令建立 IAM 政策。提供<sample-tvm-role-name>,<AWS Account ID>，以及<sample-app-role-name>指令中的值。對於 macOS 或外殼： `aws iam put-role-policy \ --role-name <sample-tvm-role-name> \ --policy-name assume-app-role \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>" } ]}'` 對於視窗命令列： `aws iam put-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-name assume-app-role ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"` 此原則會附加至 TVM 角色。它讓程式碼能夠承擔應用程式角色，該角色具有更廣泛的存取 S3 儲存貯體的權限。	雲端管理員
附加受管理的 Lambda 政策。	使用下列 AWS CLI 命令來附加`AWSLambdaBasicExecutionRole` IAM 政策。提供<sample-tvm-role-name>命令中的值： `aws iam attach-role-policy \ --role-name <sample-tvm-role-name> \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` 對於視窗命令列： `aws iam attach-role-policy ^ --role-name <sample-tvm-role-name> ^ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole` 此受管政策附加到 TVM 角色，以允許 Lambda 將日誌傳送到亞馬遜CloudWatch。	雲端管理員

建立 TVM 角色。

使用下列其中一個 AWS CLI 命令建立 IAM 角色。提供<sample-tvm-role-name>指令中的值。

對於 macOS 或外殼：


aws iam create-role \
--role-name <sample-tvm-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow", 
            "Principal": {
                "Service": "lambda.amazonaws.com"
            }, 
            "Action": "sts:AssumeRole"
        }
    ]}'

對於視窗命令列：


aws iam create-role ^
--role-name <sample-tvm-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Principal\": {\"Service\": \"lambda.amazonaws.com\"}, \"Action\": \"sts:AssumeRole\"}]}"

呼叫應用程式時，Lambda 範例應用程式會擔任此角色。假設具有範圍政策的應用程式角色的功能，可為程式碼提供更廣泛的存取 S3 儲存貯體的許可。

雲端管理員

建立內嵌 TVM 角色原則。

使用下列其中一個 AWS CLI 命令建立 IAM 政策。提供<sample-tvm-role-name>,<AWS Account ID>，以及<sample-app-role-name>指令中的值。

對於 macOS 或外殼：


aws iam put-role-policy \
--role-name <sample-tvm-role-name> \
--policy-name assume-app-role \
--policy-document '{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource": "arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>"
        }
    ]}'

對於視窗命令列：


aws iam put-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-name assume-app-role ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": \"sts:AssumeRole\", \"Resource\": \"arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>\"}]}"

此原則會附加至 TVM 角色。它讓程式碼能夠承擔應用程式角色，該角色具有更廣泛的存取 S3 儲存貯體的權限。

雲端管理員

附加受管理的 Lambda 政策。

使用下列 AWS CLI 命令來附加AWSLambdaBasicExecutionRole IAM 政策。提供<sample-tvm-role-name>命令中的值：


aws iam attach-role-policy \
--role-name <sample-tvm-role-name> \
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

對於視窗命令列：


aws iam attach-role-policy ^
--role-name <sample-tvm-role-name> ^
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

此受管政策附加到 TVM 角色，以允許 Lambda 將日誌傳送到亞馬遜CloudWatch。

雲端管理員

任務描述所需技能

任務	描述	所需技能
建立應用程式角色。	使用下列其中一個 AWS CLI 命令建立 IAM 角色。提供<sample-app-role-name>,<AWS Account ID>，以及<sample-tvm-role-name>指令中的值。對於 macOS 或外殼： `aws iam create-role \ --role-name <sample-app-role-name> \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>" }, "Action": "sts:AssumeRole" } ]}'` 對於視窗命令列： `aws iam create-role ^ --role-name <sample-app-role-name> ^ --assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"` Lambda 範例應用程式假設此角色具有範圍政策，以取得 S3 儲存貯體的租戶型存取權。	雲端管理員
建立內嵌應用程式角色原則。	使用下列其中一個 AWS CLI 命令建立 IAM 政策。提供<sample-app-role-name>和<sample-app-bucket-name>指令中的值。對於 macOS 或外殼： `aws iam put-role-policy \ --role-name <sample-app-role-name> \ --policy-name s3-bucket-access \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<sample-app-bucket-name>/" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::<sample-app-bucket-name>" } ]}'` 對於視窗命令列： `aws iam put-role-policy ^ --role-name <sample-app-role-name> ^ --policy-name s3-bucket-access ^ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"` 此原則會附加至應用程式角色。它提供對 S3 儲存貯體中物件的廣泛存取。當範例應用程式擔任角色時，這些權限的範圍會限制為具有 TVM 動態產生原則的特定承租人。	雲端管理員

建立應用程式角色。

使用下列其中一個 AWS CLI 命令建立 IAM 角色。提供<sample-app-role-name>,<AWS Account ID>，以及<sample-tvm-role-name>指令中的值。

對於 macOS 或外殼：


aws iam create-role \
--role-name <sample-app-role-name> \
--assume-role-policy-document '{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": 
            "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>"
            },
            "Action": "sts:AssumeRole"
        }
    ]}'

對於視窗命令列：


aws iam create-role ^
--role-name <sample-app-role-name> ^
--assume-role-policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\",\"Principal\": {\"AWS\": \"arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name>\"},\"Action\": \"sts:AssumeRole\"}]}"

Lambda 範例應用程式假設此角色具有範圍政策，以取得 S3 儲存貯體的租戶型存取權。

雲端管理員

建立內嵌應用程式角色原則。

使用下列其中一個 AWS CLI 命令建立 IAM 政策。提供<sample-app-role-name>和<sample-app-bucket-name>指令中的值。

對於 macOS 或外殼：


aws iam put-role-policy \
--role-name <sample-app-role-name> \
--policy-name s3-bucket-access \
--policy-document '{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": [
                "s3:PutObject", 
                "s3:GetObject", 
                "s3:DeleteObject"
            ], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>/*"
        }, 
        {
            "Effect": "Allow", 
            "Action": ["s3:ListBucket"], 
            "Resource": "arn:aws:s3:::<sample-app-bucket-name>"
        }
    ]}'

對於視窗命令列：


aws iam put-role-policy ^
--role-name <sample-app-role-name> ^
--policy-name s3-bucket-access ^
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\": [{\"Effect\": \"Allow\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObject\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>/*\"}, {\"Effect\": \"Allow\", \"Action\": [\"s3:ListBucket\"], \"Resource\": \"arn:aws:s3:::<sample-app-bucket-name>\"}]}"

此原則會附加至應用程式角色。它提供對 S3 儲存貯體中物件的廣泛存取。當範例應用程式擔任角色時，這些權限的範圍會限制為具有 TVM 動態產生原則的特定承租人。

雲端管理員

任務描述所需技能

任務	描述	所需技能
下載編譯後的源文件。	下載`s3UploadSample.jar`和`tvm-layer.zip` 文件，這些文件作為附件包含在內。用於建立這些成品和編譯實例的原始程式碼，請參閱`token-vending-machine-sample-app.zip`。	雲端管理員
建立 Lambda 圖層。	使用下列 AWS CLI 命令建立 Lambda 層，讓 Lambda 能夠存取 TVM。注意：如果您沒有從下載的位置運行此命令 `tvm-layer.zip`，提供正確的路徑`tvm-layer.zip`在`--zip-file`參數。 `aws lambda publish-layer-version \ --layer-name sample-token-vending-machine \ --compatible-runtimes java11 \ --zip-file fileb://tvm-layer.zip` 對於視窗命令列： `aws lambda publish-layer-version ^ --layer-name sample-token-vending-machine ^ --compatible-runtimes java11 ^ --zip-file fileb://tvm-layer.zip` 此命令會建立一個 Lambda 層，其中包含可重複使用的 TVM 程式庫。	雲管理員，應用程序開發
建立 Lambda 函數。	使用下列 AWS CLI 命令建立 Lambda 函數。提供<sample-app-function-name>,<AWS Account ID>,<AWS Region>, <sample-tvm-role-name>,<sample-app-bucket-name>，以及<sample-app-role-name>指令中的值。注意：如果您不是從下載的位置執行此命令`s3UploadSample.jar`，提供正確的路徑`s3UploadSample.jar`在`--zip-file`參數。 `aws lambda create-function \ --function-name <sample-app-function-name> \ --timeout 30 \ --memory-size 256 \ --runtime java11 \ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \ --handler com.amazon.aws.s3UploadSample.App \ --zip-file fileb://s3UploadSample.jar \ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>, ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` 對於視窗命令列： `aws lambda create-function ^ --function-name <sample-app-function-name> ^ --timeout 30 ^ --memory-size 256 ^ --runtime java11 ^ --role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^ --handler com.amazon.aws.s3UploadSample.App ^ --zip-file fileb://s3UploadSample.jar ^ --layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^ --environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"` 這個命令會建立一個 Lambda 函數，並附加了範例應用程式程式碼和 TVM 層。它還設置了兩個環境變量：`S3_BUCKET`和`ROLE`。範例應用程式會使用這些變數來決定要承擔的角色，以及要將 JSON 文件上傳到的 S3 儲存貯體。	雲管理員，應用程序開發

下載編譯後的源文件。

下載s3UploadSample.jar和tvm-layer.zip 文件，這些文件作為附件包含在內。用於建立這些成品和編譯實例的原始程式碼，請參閱token-vending-machine-sample-app.zip。

雲端管理員

建立 Lambda 圖層。

使用下列 AWS CLI 命令建立 Lambda 層，讓 Lambda 能夠存取 TVM。

注意：如果您沒有從下載的位置運行此命令 tvm-layer.zip，提供正確的路徑tvm-layer.zip在--zip-file參數。


aws lambda publish-layer-version \
--layer-name sample-token-vending-machine \
--compatible-runtimes java11 \
--zip-file fileb://tvm-layer.zip

對於視窗命令列：


aws lambda publish-layer-version ^
--layer-name sample-token-vending-machine ^
--compatible-runtimes java11 ^
--zip-file fileb://tvm-layer.zip

此命令會建立一個 Lambda 層，其中包含可重複使用的 TVM 程式庫。

雲管理員，應用程序開發

建立 Lambda 函數。

使用下列 AWS CLI 命令建立 Lambda 函數。提供<sample-app-function-name>,<AWS Account ID>,<AWS Region>, <sample-tvm-role-name>,<sample-app-bucket-name>，以及<sample-app-role-name>指令中的值。

注意：如果您不是從下載的位置執行此命令s3UploadSample.jar，提供正確的路徑s3UploadSample.jar在--zip-file參數。


aws lambda create-function \
--function-name <sample-app-function-name>  \
--timeout 30 \
--memory-size 256 \
--runtime java11 \
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> \
--handler com.amazon.aws.s3UploadSample.App \
--zip-file fileb://s3UploadSample.jar \
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 \
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,
ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

對於視窗命令列：


aws lambda create-function ^
--function-name <sample-app-function-name>  ^
--timeout 30 ^
--memory-size 256 ^
--runtime java11 ^
--role arn:aws:iam::<AWS Account ID>:role/<sample-tvm-role-name> ^
--handler com.amazon.aws.s3UploadSample.App ^
--zip-file fileb://s3UploadSample.jar ^
--layers arn:aws:lambda:<AWS Region>:<AWS Account ID>:layer:sample-token-vending-machine:1 ^
--environment "Variables={S3_BUCKET=<sample-app-bucket-name>,ROLE=arn:aws:iam::<AWS Account ID>:role/<sample-app-role-name>}"

這個命令會建立一個 Lambda 函數，並附加了範例應用程式程式碼和 TVM 層。它還設置了兩個環境變量：S3_BUCKET和ROLE。範例應用程式會使用這些變數來決定要承擔的角色，以及要將 JSON 文件上傳到的 S3 儲存貯體。

雲管理員，應用程序開發

任務描述所需技能

任務	描述	所需技能
叫用 Lambda 範例應用程式。	使用下列其中一個 AWS CLI 命令，以預期的承載啟動 Lambda 範例應用程式。提供<sample-app-function-name>和<sample-tenant-name>指令中的值。對於 macOS 和外殼： `aws lambda invoke \ --function <sample-app-function-name> \ --invocation-type RequestResponse \ --payload '{"tenant": "<sample-tenant-name>"}' \ --cli-binary-format raw-in-base64-out response.json` 對於視窗命令列： `aws lambda invoke ^ --function <sample-app-function-name> ^ --invocation-type RequestResponse ^ --payload "{\"tenant\": \"<sample-tenant-name>\"}" ^ --cli-binary-format raw-in-base64-out response.json` 此命令會呼叫 Lambda 函數，並將結果傳回`response.json`文件。在許多基於 UNIX 的系統上，您可以更改`response.json`至`/dev/stdout`直接將結果輸出到您的 shell 而不創建其他文件。注意：變更<sample-tenant-name>此 Lambda 函數後續呼叫中的值會變更 JSON 文件的位置以及權杖提供的權限。	雲管理員，應用程序開發
檢視 S3 儲存貯體以查看建立的物件。	瀏覽至 S3 儲存貯體 (<sample-app-bucket-name>）您之前創建的。此儲存貯體包含具有下列值的 S3 物件前置詞<sample-tenant-name>。在該前綴下，您將找到一個以 UUID 命名的 JSON 文檔。多次叫用範例應用程式會新增更多 JSON 文件。	雲端管理員
檢視範例應用程式的雲觀察日誌。	檢視與名為的 Lambda 函數相關聯的雲端觀察日誌<sample-app-function-name>。如需指示，請參閱訪問亞馬遜CloudWatchAWS 拉姆達的日誌在 AWS Lambda 文件中。您可以在這些記錄中檢視 TVM 產生的承租人範圍原則。此承租人範圍政策授予 Amazon S3 範例應用程式的許可PutObject,GetObject,DeleteObject，以及ListBucketAPI，但僅適用於與相關聯的物件前綴<sample-tenant-name>。在範例應用程式的後續呼叫中，如果您變更<sample-tenant-name>，TVM 會更新範圍原則，以對應於呼叫裝載中提供的租用戶。此動態產生的原則顯示如何透過 SaaS 應用程式中的 TVM 維護承租人範圍的存取。 TVM 功能在 Lambda 層中提供，因此它可以連接到應用程式所使用的其他 Lambda 函數，而無需複寫程式碼。如需動態產生之原則的圖例，請參閱附加信息部分。	雲端管理員

叫用 Lambda 範例應用程式。

使用下列其中一個 AWS CLI 命令，以預期的承載啟動 Lambda 範例應用程式。提供<sample-app-function-name>和<sample-tenant-name>指令中的值。

對於 macOS 和外殼：


aws lambda invoke \
--function <sample-app-function-name> \
--invocation-type RequestResponse \
--payload '{"tenant": "<sample-tenant-name>"}' \
--cli-binary-format raw-in-base64-out response.json

對於視窗命令列：


aws lambda invoke ^
--function <sample-app-function-name> ^
--invocation-type RequestResponse ^
--payload "{\"tenant\": \"<sample-tenant-name>\"}" ^
--cli-binary-format raw-in-base64-out response.json

此命令會呼叫 Lambda 函數，並將結果傳回response.json文件。在許多基於 UNIX 的系統上，您可以更改response.json至/dev/stdout直接將結果輸出到您的 shell 而不創建其他文件。

注意：變更<sample-tenant-name>此 Lambda 函數後續呼叫中的值會變更 JSON 文件的位置以及權杖提供的權限。

雲管理員，應用程序開發

檢視 S3 儲存貯體以查看建立的物件。

瀏覽至 S3 儲存貯體 (<sample-app-bucket-name>）您之前創建的。此儲存貯體包含具有下列值的 S3 物件前置詞<sample-tenant-name>。在該前綴下，您將找到一個以 UUID 命名的 JSON 文檔。多次叫用範例應用程式會新增更多 JSON 文件。

雲端管理員

檢視範例應用程式的雲觀察日誌。

檢視與名為的 Lambda 函數相關聯的雲端觀察日誌<sample-app-function-name>。如需指示，請參閱訪問亞馬遜CloudWatchAWS 拉姆達的日誌在 AWS Lambda 文件中。您可以在這些記錄中檢視 TVM 產生的承租人範圍原則。此承租人範圍政策授予 Amazon S3 範例應用程式的許可PutObject,GetObject,DeleteObject，以及ListBucketAPI，但僅適用於與相關聯的物件前綴<sample-tenant-name>。在範例應用程式的後續呼叫中，如果您變更<sample-tenant-name>，TVM 會更新範圍原則，以對應於呼叫裝載中提供的租用戶。此動態產生的原則顯示如何透過 SaaS 應用程式中的 TVM 維護承租人範圍的存取。

TVM 功能在 Lambda 層中提供，因此它可以連接到應用程式所使用的其他 Lambda 函數，而無需複寫程式碼。

如需動態產生之原則的圖例，請參閱附加信息部分。

雲端管理員

其他資訊

下列 Amazon Cloudwatch 日誌會以此模式顯示由 TVM 程式碼產生的動態產生的政策。在此螢幕擷取畫面中，<sample-app-bucket-name>是DOC-EXAMPLE-BUCKET和<sample-tenant-name>是test-tenant-1。此範圍政策傳回的 STS 登入資料無法對 S3 儲存貯體中的物件執行任何動作，但與物件金鑰前置詞相關聯的物件除外test-tenant-1。

附件

若要存取與此文件相關聯的其他內容，請解壓縮下列檔案：attachment.zip

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用 AWS SAM 部署巢狀應用程式

使用 AWS Step Functions 實作無伺服器傳奇模式

使用 AWS Lambda 權杖自動販賣機為亞馬遜 S3 實作 SaaS 租用戶隔離

總結

先決條件和限制

架構

工具

史诗

相關資源

其他資訊

附件