Блог

Главная - Вопросы по программированию - Использование AWSAppSyncClient внутри контейнера ECS (Fargate) в режиме аутентификации AWS_IAM — Возвращает 403 непризнанных исключения ClientException

Использование AWSAppSyncClient внутри контейнера ECS (Fargate) в режиме аутентификации AWS_IAM — Возвращает 403 непризнанных исключения ClientException

#amazon-iam #amazon-ecs #aws-appsync #aws-fargate #appsync-apollo-client

Вопрос:

У нас есть следующий код в контейнере ECS Fargate, однако он постоянно возвращает ошибку. При запуске идентичного кода в лямбде с аутентификацией IAM и правильной настройкой роли я могу успешно выполнить это.

Ошибка

 Network error: Response not successful: Received status code 403
UnrecognizedClientException
The security token included in the request is invalid.

Код

 import 'isomorphic-fetch';
import AWSAppSyncClient, { AUTH_TYPE } from 'aws-appsync';
import AWS from 'aws-sdk';

// Setup variables for client
const graphqlEndpoint = process.env.GRAPHQL_ENDPOINT;
const awsRegion = process.env.AWS_DEFAULT_REGION;

const client = new AWSAppSyncClient({
    url: graphqlEndpoint,
    region: awsRegion,
    auth: {
        type: AUTH_TYPE.AWS_IAM,
        credentials: AWS.config.credentials,
    },
    disableOffline: true,
})

Облачная информация

   TaskDefinition:
    Type: "AWS::ECS::TaskDefinition"
    Properties:
      ContainerDefinitions:
        - Ommitted
      Cpu: !FindInMap [CpuMap, !Ref Cpu, Cpu]
      ExecutionRoleArn: !GetAtt "TaskExecutionRole.Arn"
      Family: !Ref "AWS::StackName"
      Memory: !FindInMap [MemoryMap, !Ref Memory, Memory]
      NetworkMode: awsvpc
      RequiresCompatibilities: [FARGATE]
      TaskRoleArn: !GetAtt "TaskRole.Arn"
  TaskRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument:
        Statement:
          - Effect: Allow
            Principal:
              Service: "ecs-tasks.amazonaws.com"
            Action: "sts:AssumeRole"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AWSAppSyncInvokeFullAccess" # Invoke Access for AppSync

Ответ №1:

В конце концов я обнаружил, что это было результатом того, что AppSyncClient не смог правильно загрузить учетные данные в ECS.

В соответствии с документами AWS о ролях IAM в ECS учетные данные загружаются иначе, чем в других сервисах AWS. Вместо того, чтобы учетные данные заполнялись в env vars, агент Amazon ECS вместо этого заполнял AWS_CONTAINER_CREDENTIALS_RELATIVE_URI переменную путем к учетным данным. Я смог успешно приступить AWSAppSyncClient IAM к работе с аутентификацией в ECS контейнере, сначала загрузив ECS учетные данные вручную и передав их AWSAppSyncClient . Приведенный ниже пример сработал.

 // AWSAppSyncClient needs to be provided ECS IAM credentials explicitly
const credentials = new AWS.ECSCredentials({
  httpOptions: { timeout: 50000 },
  maxRetries: 10,
});
AWS.config.credentials = credentials;

// Setup AppSync Config
const AppSyncConfig = {
  url: graphqlEndpoint,
  region: awsRegion,
  auth: {
    type: AUTH_TYPE.AWS_IAM,
    credentials: AWS.config.credentials,
  },
  disableOffline: true,
};
Метки: