introduction

J'ai essayé d'utiliser Lambda @ Edge pour appliquer l'authentification de base au site, mais lorsque je recherche en japonais, je trouve généralement de nombreux articles tels que Node 6 et 8. Cependant, cette limitation était juste après la sortie générale de Lambda @ Edge, et j'ai senti que les informations étaient trop anciennes, j'ai donc vérifié à nouveau le statut de support actuel de Lambda @ Edge. À ce stade (8 octobre 2020), Lambda @ Edge peut être utilisé jusqu'à Python 3.8, j'ai donc décidé de l'utiliser pour l'authentification de base, ce qui est le but de cette fois.

REMARQUE: un environnement Lambda viable

L'environnement qui peut être exécuté au moment de la rédaction de l'article (8 octobre 2020) est le suivant.

Python 3.8
Python 3.7
Node.js 12
Node.js 10
Node.js 8 and Node.js 6

Source: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-requirements-limits.html#lambda-requirements-lambda-function-configuration

Il pourrait être exécuté en Python ainsi que Node.js. En regardant quand ce changement est intervenu, il semble que Python 3.7 était disponible en août 2019, et Python 3.8 et Node 12 étaient aux alentours de mars 2020.

https://aws.amazon.com/jp/about-aws/whats-new/2019/08/lambdaedge-adds-support-for-python-37/
https://aws.amazon.com/jp/about-aws/whats-new/2020/03/lambda-at-edge-node12-python38/

Qu'est-ce que Lambda @ Edge

En exécutant AWS Lambda entre des requêtes Amazon CloudFront, le traitement requis peut être inséré séparément de l'application. Voir ci-dessous pour les cas d'utilisation officiellement introduits.

https://aws.amazon.com/jp/lambda/edge/

Cette fois, le but est d'effectuer l'authentification de base indépendamment du contenu d'origine en insérant le processus d'authentification de base avant que l'utilisateur (spectateur) n'accède à CloudFront et accède à son cache et à son origine. ..

Créer une fonction Lambda pour Lambda @ Edge

Créer une fonction Lambda dans la région du nord de la Virginie (us-east-1)

CloudFront est un service global qui peut être utilisé dans n'importe quelle région, mais les ressources utilisées ici (comme le certificat utilisé par SSL Certificate Manager) doivent être créées dans la région us-east-1. Créez également la fonction Lambda dans cette région.

La procédure de création avec la console de gestion est illustrée ci-dessous. En tant que conditions préalables, il est supposé que vous avez le droit de créer un rôle Lambda ou IAM approprié et que vous avez déjà défini les paramètres pour CloudFront qui utilise l'authentification de base.

--Ouvrez la page Lambda et appuyez sur le bouton "Créer une fonction" pour commencer à créer la fonction --Effectuez les réglages initiaux conformément à la figure ci-dessous. --Lors de la création d'un nouveau rôle d'exécution

"Créer un nouveau rôle à partir du modèle de stratégie AWS Accordez "les autorisations Lambda @ Edge de base (pour les déclencheurs CloudFront)" en tant que "
Si vous avez déjà un rôle avec des privilèges similaires, vous pouvez l'utiliser.
Vous pouvez utiliser n'importe quel nom que vous aimez

Appuyez sur Créer une fonction pour créer une fonction --Récrivez le code de fonction comme suit
Ici, le nom d'utilisateur et le mot de passe sont déterminés par la fonction ʻauthenticate`, alors réécrivez-le pour pouvoir l'utiliser vous-même.
Dans la fonction Lambda utilisée par Lambda @ Edge, ** les variables d'environnement ne peuvent pas être utilisées **, elles sont donc écrites sous forme solide.

#!/usr/bin/python
# -*- coding: utf-8 -*-

"""
Lambda pour l'authentification de base@La version Python d'Edge.
"""

import base64


def authenticate(user, password):
    """Authentification"""
    return user == 'cloudfront' and password == 'CL0UDFR0NT'


def lambda_handler(event, context):
    request = event['Records'][0]['cf']['request']
    headers = request['headers']

    error_response = {
        'status': '401',
        'statusDescription': 'Unauthorized',
        'body': 'Authentication Failed',
        'headers': {
            'www-authenticate': [
                {
                    'key': 'WWW-Authenticate',
                    'value': 'Basic realm="Basic Authentication"'
                }
            ]
        }
    }

    if 'authorization' not in headers:
        return error_response

    try:
        auth_values = headers['authorization'][0]['value'].split(" ")
        auth = base64.b64decode(auth_values[1]).decode().split(":")
        (user, password) = (auth[0], auth[1])
        return request if authenticate(user, password) else error_response
    except Exception:
        #Format illégal, etc.
        return error_response

Appuyez sur le bouton Déployer pour appliquer ce code à $ LATEST --Créer une "nouvelle version" à partir de l'action --Lambda @ Edge ne peut pas utiliser $ LATEST, alors assurez-vous d'émettre une version corrigée.
Assurez-vous que la version est "la dernière version actuellement créée" et appuyez sur le bouton "+ Ajouter un déclencheur" en bas à gauche de la figure ci-dessous.

--Lorsque CloudFront est sélectionné dans les paramètres de déclenchement, l'élément pour définir Lambda @ Edge pour le CloudFront déjà défini s'affiche. ――Vous choisissez la distribution que vous souhaitez --Dans "Sélectionner le comportement du cache", il apparaîtra dans l'unité de chemin spécifiée dans Comportement de CloudFront, sélectionnez donc le comportement auquel Lambda @ Edge est appliqué.

Lors de la configuration depuis le côté CloudFront, définissez le comportement de la même manière. --Définissez "Viewer Request" car vous souhaitez insérer un processus entre "Viewer (User)" -> CloudFront` dans l'événement CloudFront.
Accepter de fonctionner la réplication dans toutes les régions -Appuyez sur "Ajouter"

Une fois le processus ci-dessus terminé et appliqué à CloudFront, une authentification de base sera requise pour l'accès.

Remarque: dépannage

Ce que j'ai vraiment fait.

--Lambda @ Edge ne renvoie pas les résultats attendus --Parce que la version n'a pas été corrigée. La version doit être corrigée correctement

La fonction Lambda de Lambda @ Edge n'affiche pas le journal même si "Afficher le journal CloudWatch" est sélectionné.
Enregistré dans les journaux CloudWatch pour la région réellement traitée --Cette fois, un groupe de journaux appelé / aws / lambda / us-east-1.cloudfront-basic-auth a été créé dans la région ap-nord-est-1, et les journaux ont été affichés ici.
L'authentification de base ne passe pas quel que soit le nombre de fois que vous entrez
Le paramètre par défaut pour les événements CloudFront est "Demande d'origine", vous devez donc le changer correctement en "Demande de visionneuse". --Dans la politique de demande d'origine par défaut, l'en-tête ʻAuthorization est défini pour ne pas circuler vers l'origine. Si Lambda @ Edge est inséré ici, le jeton d'authentification ne sera pas transmis à Lambda @ Edge en premier lieu, donc ʻerror_response sera toujours retourné.

Résumé

Dans les premiers articles, j'avais l'impression que les paramètres initiaux étaient difficiles en raison de divers paramètres de rôle IAM, mais à ce stade, j'ai trouvé que l'utilisation de l'assistant facilite la réalisation de Lambda @ Edge sans avoir à réfléchir sérieusement. Il peut ne pas être disponible lors de la protection du site de développement contre l'accès général, de l'application de l'authentification de base au site en tant que service entièrement interne, ou de l'ajout de l'authentification de base au chemin racine de l'écran de gestion du site, etc. C'est ça?

référence

https://gist.github.com/lmakarov/e5984ec16a76548ff2b278c06027f1a4
Authentification de base avec CloudFront + Lambda @ Edge + Secrets Manager

Obtenez une authentification de base avec CloudFront Lambda @ Edge avec Python 3.8