Einführung

Ich habe versucht, Lambda @ Edge zu verwenden, um die Standardauthentifizierung auf die Site anzuwenden, aber wenn ich auf Japanisch suche, finde ich normalerweise viele Artikel wie Knoten 6 und 8. Diese Einschränkung trat jedoch unmittelbar nach der allgemeinen Veröffentlichung von Lambda @ Edge auf, und ich hatte das Gefühl, dass die Informationen zu alt waren, sodass ich den aktuellen Supportstatus von Lambda @ Edge erneut überprüfte. Zu diesem Zeitpunkt (08. Oktober 2020) kann Lambda @ Edge bis zu Python 3.8 verwendet werden. Daher habe ich mich dazu entschlossen, die Standardauthentifizierung anzuwenden, was der Zweck dieser Zeit ist.

HINWEIS: Eine funktionsfähige Lambda-Umgebung

Die Umgebung, die zum Zeitpunkt des Schreibens des Artikels (08. Oktober 2020) ausgeführt werden kann, ist wie folgt.

Python 3.8
Python 3.7
Node.js 12
Node.js 10
Node.js 8 and Node.js 6

Quelle: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-requirements-limits.html#lambda-requirements-lambda-function-configuration

Es könnte sowohl in Python als auch in Node.js ausgeführt werden. Wenn man sich diese Änderung ansieht, scheint Python 3.7 im August 2019 verfügbar zu sein, und Python 3.8 und Node 12 waren um März 2020 verfügbar.

https://aws.amazon.com/jp/about-aws/whats-new/2019/08/lambdaedge-adds-support-for-python-37/
https://aws.amazon.com/jp/about-aws/whats-new/2020/03/lambda-at-edge-node12-python38/

Was ist Lambda @ Edge?

Durch Ausführen von AWS Lambda zwischen Amazon CloudFront-Anforderungen kann die erforderliche Verarbeitung separat von der Anwendung eingefügt werden. Unten finden Sie die offiziell eingeführten Anwendungsfälle.

https://aws.amazon.com/jp/lambda/edge/

Dieses Mal besteht der Zweck darin, die Basisauthentifizierung unabhängig vom ursprünglichen Inhalt durchzuführen, indem der Basisauthentifizierungsprozess eingefügt wird, bevor der Benutzer (Viewer) auf CloudFront zugreift und auf dessen Cache und Ursprung zugreift. ..

Erstellen Sie eine Lambda-Funktion für Lambda @ Edge

Erstellen Sie eine Lambda-Funktion in der Region Nord-Virginia (USA-Ost-1)

CloudFront ist ein globaler Dienst, der in jeder Region verwendet werden kann. Die hier verwendeten Ressourcen (z. B. das vom SSL Certificate Manager verwendete Zertifikat) müssen jedoch in der Region us-east-1 erstellt werden. Erstellen Sie die Lambda-Funktion auch in dieser Region.

Das Verfahren zum Erstellen mit der Verwaltungskonsole ist unten dargestellt. Als Voraussetzung wird davon ausgegangen, dass Sie das Recht haben, eine geeignete Lambda- oder IAM-Rolle zu erstellen, und dass Sie die Einstellungen für CloudFront, das die Standardauthentifizierung verwendet, bereits abgeschlossen haben.

--Öffnen Sie die Lambda-Seite und klicken Sie auf die Schaltfläche "Funktion erstellen", um die Funktion zu erstellen

Nehmen Sie die Grundeinstellungen gemäß der folgenden Abbildung vor.
Beim Erstellen einer neuen Ausführungsrolle
"Erstellen Sie eine neue Rolle aus der AWS-Richtlinienvorlage Gewähren Sie "grundlegende Lambda @ Edge-Berechtigungen (für CloudFront-Trigger)" als "
Wenn Sie bereits eine Rolle mit ähnlichen Berechtigungen haben, können Sie diese verwenden.
Sie können einen beliebigen Namen verwenden

Drücken Sie Funktion erstellen, um eine Funktion zu erstellen
Schreiben Sie den Funktionscode wie folgt um
Hier wird die Funktion "Authentifizieren" verwendet, um den Benutzernamen und das Kennwort zu bestimmen. Schreiben Sie sie daher neu, damit Sie sie selbst verwenden können.
In der von Lambda @ Edge verwendeten Lambda-Funktion können ** Umgebungsvariablen nicht verwendet werden **, daher wird sie in fester Form geschrieben.

#!/usr/bin/python
# -*- coding: utf-8 -*-

"""
Lambda für die Basisauthentifizierung@Die Python-Version von Edge.
"""

import base64


def authenticate(user, password):
    """Authentifizierung"""
    return user == 'cloudfront' and password == 'CL0UDFR0NT'


def lambda_handler(event, context):
    request = event['Records'][0]['cf']['request']
    headers = request['headers']

    error_response = {
        'status': '401',
        'statusDescription': 'Unauthorized',
        'body': 'Authentication Failed',
        'headers': {
            'www-authenticate': [
                {
                    'key': 'WWW-Authenticate',
                    'value': 'Basic realm="Basic Authentication"'
                }
            ]
        }
    }

    if 'authorization' not in headers:
        return error_response

    try:
        auth_values = headers['authorization'][0]['value'].split(" ")
        auth = base64.b64decode(auth_values[1]).decode().split(":")
        (user, password) = (auth[0], auth[1])
        return request if authenticate(user, password) else error_response
    except Exception:
        #Format illegal etc.
        return error_response

Drücken Sie die Schaltfläche Bereitstellen, um diesen Code auf $ LATEST anzuwenden --Erstellen Sie eine "neue Version" aus der Aktion
Lambda @ Edge kann "$ LATEST" nicht verwenden. Stellen Sie daher sicher, dass Sie eine feste Version herausgeben.
Stellen Sie sicher, dass es sich bei der Version um die "aktuellste Version" handelt, und klicken Sie auf die Schaltfläche "+ Trigger hinzufügen" unten links in der Abbildung unten.

Wenn CloudFront in den Triggereinstellungen ausgewählt ist, wird das Element zum Festlegen von Lambda @ Edge für das bereits festgelegte CloudFront angezeigt. ――Sie wählen die zu verwendende Distribution aus -In "Cache-Verhalten auswählen" wird es in der unter Verhalten von CloudFront angegebenen Pfadeinheit angezeigt. Wählen Sie daher das Verhalten aus, auf das Lambda @ Edge angewendet wird. --Wenn Sie die Einstellung von der CloudFront-Seite aus vornehmen, setzen Sie sie auf die gleiche Weise unter Verhalten.
Setzen Sie "Viewer Request", weil Sie einen Prozess zwischen "Viewer (Benutzer)" -> CloudFront "in das CloudFront-Ereignis einfügen möchten.
Stimmen Sie der Funktionsreplikation für alle Regionen zu -Drücken Sie "Hinzufügen"

Sobald der oben beschriebene Vorgang abgeschlossen und auf CloudFront angewendet wurde, ist eine grundlegende Authentifizierung für den Zugriff erforderlich.

Hinweis: Fehlerbehebung

Was ich tatsächlich getan habe.

Lambda @ Edge gibt nicht die erwarteten Ergebnisse zurück
Weil die Version nicht behoben wurde. Die Version muss ordnungsgemäß repariert werden
Die Lambda-Funktion von Lambda @ Edge zeigt das Protokoll auch dann nicht an, wenn "CloudWatch-Protokoll anzeigen" ausgewählt ist.
In CloudWatch-Protokollen für die tatsächlich verarbeitete Region aufgezeichnet
Dieses Mal wurde eine Protokollgruppe mit dem Namen "/ aws / lambda / us-east-1.cloudfront-basic-auth" in der Region ap-northeast-1 erstellt und die Protokolle wurden hier ausgegeben.
Die Basisauthentifizierung wird nicht bestanden, egal wie oft Sie eingeben
Die Standardeinstellung für CloudFront-Ereignisse ist "Ursprungsanforderung". Sie müssen diese Einstellung daher korrekt in "Viewer-Anforderung" ändern.
In der Standardrichtlinie für Ursprungsanforderungen ist der Header "Autorisierung" so festgelegt, dass er nicht zum Ursprung fließt. Wenn hier Lambda @ Edge eingefügt wird, wird das Authentifizierungstoken nicht an Lambda @ Edge übergeben, sodass immer "error_response" zurückgegeben wird.

Zusammenfassung

In den frühen Artikeln hatte ich den Eindruck, dass die anfänglichen Einstellungen aufgrund verschiedener IAM-Rolleneinstellungen schwierig waren, aber an diesem Punkt stellte ich fest, dass die Verwendung des Assistenten es einfach macht, Lambda @ Edge zu realisieren, ohne lange überlegen zu müssen. Es ist möglicherweise nicht verfügbar, wenn Sie die Entwicklungssite vor dem allgemeinen Zugriff schützen, die Basisauthentifizierung als vollständig internen Dienst auf die Site anwenden oder anschließend die Basisauthentifizierung zum Stammpfad des Site-Verwaltungsbildschirms usw. hinzufügen. Ist es?

Referenz

https://gist.github.com/lmakarov/e5984ec16a76548ff2b278c06027f1a4
Grundlegende Authentifizierung mit CloudFront + Lambda @ Edge + Secrets Manager

Erreichen Sie eine grundlegende Authentifizierung mit CloudFront Lambda @ Edge mit Python 3.8