DataPower API Gateway uniquement

Lambda

Utilisez la stratégie Lambda pour personnaliser ou remplacer la configuration de consignation des activités par défaut pour une API.

Prise en charge des passerelles

Tableau 1. Tableau des passerelles prenant en charge cette stratégie, ainsi que la version de stratégie correspondante
Passerelle Version de la stratégie
DataPower® API Gateway 1.0.0

Cette rubrique décrit comment configurer la stratégie dans votre source OpenAPI . Pour plus de détails sur la configuration de la stratégie dans l'interface utilisateur de l'assemblage, voir Lambda.

A propos de

La stratégie Lambda vous permet de déclencher des fonctions AWS Lambda à partir de l'assemblage d'une API sans que vous ayez à utiliser la API GatewayAmazon. Lorsque vous ajoutez la stratégie à un assemblage d'API, vous pouvez spécifier la fonction Lambda à appeler et fournir des données d'identification pour l'utiliser. Les données d'identification peuvent être un rôle AWS IAM ou une paire ID de clé d'accès/clé d'accès secrète.

Pour permettre à API Connect d'invoquer une fonction Lambda, effectuez les tâches suivantes :
  1. Configurez l'accès à la fonction Lambda dans AWS comme expliqué dans la section Configuration des droits et de la confiance dans AWS de cette rubrique.
  2. Définissez une politique d'API dans API Connect en utilisant les propriétés de la politique dans la section Propriétés de cette rubrique.
Remarque :
  • La politique Lambda utilise des points d'extrémité VPC pour garantir que la communication entre la passerelle et le service Lambda passe par le réseau fédérateur privé d'AWS.
  • Pour obtenir des informations sur Lambda et des instructions sur l'utilisation des fonctionnalités Lambda, consultez la documentationAWS Lambda.

Configuration des droits d'accès et de la confiance dans AWS

Pour utiliser une politique Lambda, vous devez configurer un rôle dans votre compte AWS, en spécifiant une politique de permissions et une relation de confiance, afin que API Connect puisse invoquer la AWS fonction Lambda. Il existe deux options d'authentification lors de l'utilisation de la règle AWS Lambda:

Utilisez les instructions pour l'option qui correspond le mieux à vos besoins.

ID de clé d'accès / Clé d'accès secrète
Indiquez la paire AWS Access Key ID/AWS Secret Access Key d'un compte avec le droit d'appeler une ou plusieurs fonctions Lambda. Les droits de ce compte doivent être aussi limités que possible ; le compte doit être un compte de service avec aucun autre droit que la possibilité d'appeler une ou plusieurs fonctions Lambda. Pour plus d'informations, consultez la documentation sur les politiques IAM basées sur l'identité pour Lambda.

Pour utiliser l'option d'authentification ID de clé d'accès/clé d'accès secrète, suivez les étapes suivantes pour utiliser le service IAM de votre compte et créer un compte de service IAM avec les autorisations appropriées pour faciliter une communication limitée avec API Connect :

  1. Connectez-vous à la console de gestion AWS et ouvrez la console IAM.
  2. Dans la console AWS IAM, cliquez sur Users dans la liste de navigation, puis sur Add users.
  3. A l'invite "Set user details", indiquez un nom d'utilisateur (unique dans votre compte AWS ) et sélectionnez Access key-Programmatic access.

    Vous pouvez sélectionner l'option Mot de passe - AWS Accès à la console de gestion, mais elle n'est pas requise pour l'interaction avec API Connect.

    Il existe une variété d'options permettant de définir des droits pour le nouveau compte utilisateur. Consultez le Guide de l'utilisateur deAWS Identity and Access Management pour plus d'informations sur l'ajout de l'utilisateur à un groupe d'utilisateurs ou sur l'attachement d'une politique directement à l'utilisateur.

    Une méthode simple de définition des droits utilisateur qui respecte le principe du moindre privilège consiste à créer un utilisateur IAM sans droits, puis à ajouter cet utilisateur à la configuration des droits d'une fonction Lambda spécifique, comme illustré dans les étapes suivantes.

  4. Sur la page "Définir les détails de l'utilisateur", cliquez sur Suivant: Etiquettes sans apporter de modifications au nouveau compte utilisateur.
  5. Créez les balises souhaitées, puis cliquez sur Next: Review.
  6. Passez en revue vos paramètres et cliquez sur Créer un utilisateur.

    Ignorez l'avertissement This user has no permissions car vous affecterez des droits dans les étapes restantes.

  7. Cliquez sur Télécharger .csv pour sauvegarder l' ID de clé d'accès et la clé d'accès secrètedu nouvel utilisateur et les stocker en lieu sûr. Ces valeurs seront utilisées comme AWS ID de la clé d'accès et AWS Clé d'accès secrète lors de la configuration de la politique Lambda de votre API dans API Connect.
  8. Mettez à jour la fonction Lambda pour fournir des droits au nouvel utilisateur:
    1. Dans la console Lambda, ouvrez la page Fonctions .
    2. Sélectionnez la fonction que API Connect invoquera.
    3. Cliquez sur Configuration.
    4. Dans la section Instructions de stratégie basées sur les ressources , cliquez sur Ajouter des droits.
    5. Sélectionnez le compteAWS et ajoutez un ID d'instructionunique.
    6. Définissez Principal sur l'ARN du nouvel utilisateur.

      arn:aws:iam::<AWS_account_ID>:user/<username>, available on the Utilisateurs > <username> page.

    7. Définissez l' Action sur lambda:InvokeFunction.
    8. Cliquez sur Sauvegarder.

    Répétez cette étape pour chaque fonction Lambda appelée par le compte utilisateur.

Supposer ARN de rôle
Indiquez l'ARN de rôle de présomption AWS d'un rôle avec le droit d'appeler une ou plusieurs fonctions Lambda. Ce rôle doit avoir une configuration spécifique pour la règle d'accréditation qui inclut les paramètres suivants: Action, Condition, Effectet Principal.

Les droits d'accès de ce rôle doivent être aussi limités que possible ; le rôle ne doit pas avoir d'autres droits d'accès que la possibilité d'appeler une ou plusieurs fonctions Lambda. Pour plus d'informations, consultez la documentation sur les autorisations Lambda.

Pour utiliser l'option d'authentification AWS Assumez le rôle ARN, effectuez les étapes suivantes pour créer une AWS appropriés avec le service IAM de votre compte afin de faciliter une communication limitée avec API Connect :

  1. Connectez-vous à la console de gestion AWS et ouvrez la console IAM.
  2. Dans la console AWS IAM, cliquez sur Rôles dans la liste de navigation, puis sur Créer un rôle.
  3. Lorsque vous êtes invité à "Sélectionner une entité digne de confiance", cliquez sur Règle de confiance personnalisée, utilisez l'exemple de code suivant comme guide pour créer la règle de confiance, puis cliquez sur Suivant.
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::623947394061:role/ibm-apiconnect-<apic_region>"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<apic_provider_org_ID>"
                }
            }
        }
    ]
}
    Remplacez les variables suivantes par vos propres valeurs:
    • <apic_region> est la région dans laquelle vous avez déployé votre instance de service API Connect ; par exemple: us-east-a.
    • <apic_provider_org_ID> est l'identifiant API Connect de votre organisme fournisseur.
      Pour déterminer le nom de votre organisation de type fournisseur:
      1. Connectez-vous à API Connect en utilisant l'option --sso ; par exemple :
        ./apic login \
  --sso \
  --context provider \
  --server platform-api.<apic_region>.example.com

        <apic_region> est la région dans laquelle vous avez déployé votre instance de service API Connect .

      2. Run the following command to get the API Connect ID of your provider organization:
        ./apic orgs:list \
  --my \
  --fields name,id \
  --format yaml \
  --output - \
  --server platform-api.<apic_region>.example.com

        <apic_region> est la région dans laquelle vous avez déployé votre instance de service API Connect .

        La réponse renvoie une liste de noms d'organisation de type fournisseur, avec l'ID correspondant à chaque nom.

  4. Lorsque vous êtes invité à "Ajouter des droits", choisissez une méthode pour ajouter une règle au nouveau rôle:
    • Associez la règle AWSLambdaRole :

      La politique AWSLambdaRole est gérée par AWS et autorise l'action lambda:InvokeFunction requise. La portée de la règle s'applique à toutes les fonctions Lambda du compte AWS en cours.

    • Créez votre propre stratégie personnalisée qui autorise l'action lambda:InvokeFunction :

      Si vous souhaitez utiliser une règle de portée plus étroite, vous pouvez créer la règle lors de la création du nouveau rôle ou créer la règle à l'avance et l'associer lors de la création du nouveau rôle. Pour créer une règle, cliquez sur Règlesdans la liste de navigation de la console IAM, puis cliquez sur Créer une règle.

    La règle que vous utilisez doit autoriser l'action lambda:InvokeFunction pour la ou les ressources de fonction Lambda souhaitées. L'exemple de règle suivant est sectorisé à une seule fonction Lambda:
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-1:<AWS_account_ID>:function:<lambda_function_name>"
        }
    ]
}
    Remplacez les variables suivantes par vos propres valeurs:
    • <AWS_account_ID> est le API Connect AWS ID du compte de production -- utilisez la valeur suivante :
      623947394061
    • <lambda_function_name> est le nom ou le nom de ressource Amazon (ARN) de la fonction AWS Lambda à exécuter.

    Pour plus d'informations sur les autres structures de politique, consultez le Guide de l'utilisateur deAWS Identity and Access Management.

  5. Indiquez un nom de rôle, une descriptionet des balises.
  6. Cliquez sur Créer un rôle.

Lorsque vous configurez la politique Lambda de votre API dans API Connect, fournissez l'ARN du nouveau rôle comme valeur du champ AWS Assume Role ARN.

Propriétés

Le tableau suivant répertorie les propriétés des stratégies, indique si une propriété est nécessaire, définit les valeurs d'entrée et par défaut valides et précise le type de données des valeurs.

Tableau 2. Propriétés de la stratégie de limite de débit
Propriété Requis Descriptif Type de données
title Non Titre de la stratégie. La valeur par défaut est lambda. chaîne
description Non Description de la stratégie. chaîne
AWS Access Key ID Oui AWS Les clés d'accès sont des données d'identification à long terme pour un utilisateur AWS IAM. Obligatoire si AWS Assume Role ARN n'est pas fourni à la place.

Pour des instructions sur la création de la paire de clés d'accès dans AWS, voir ID de clé d'accès/clé d'accès secrète dans cette rubrique.

 chaîne
AWS Secret Access Key Oui Clé d'accès secrète qui correspond au AWS Access Key IDspécifié. chaîne
AWS Assume Role ARN Oui L'ARN du AWS rôle IAM que API Connect assumera lors de l'exécution de la AWS fonction Lambda. Requis si les AWS Access Key ID et AWS Secret Access Key ne sont pas fournis à la place.

Pour des instructions sur la création du rôle Assume dans AWS, voir Assume Role ARN dans cette rubrique.

 chaîne
function Oui Nom ou nom de ressource Amazon (ARN) de la fonction AWS Lambda à exécuter, à l'aide de l'un des formats suivants:
  • Nom de la fonction ; par exemple: my-function
  • Fonction ARN ; par exemple: arn:aws:lambda:us-west-2:123456789012:function:my-function
  • ARN partiel- 123456789012:function:my-function

Pour plus d'informations, voir FunctionName dans le Guide du développeur AWS Lambda.

 chaîne
region Oui Région AWS dans laquelle la fonction Lambda est hébergée. chaîne
qualifier Non Alias ou version de la fonction Lambda que vous souhaitez exécuter.

Pour plus d'informations, voir Qualifier dans le Guide du développeur AWS Lambda.

 chaîne