AWS Amplify CLI 中嵌套自定义GraphQL Lambda解析器的权限配置问题解析

问题背景

在使用AWS Amplify CLI开发GraphQL API时，开发者经常会遇到需要创建自定义Lambda解析器的情况。一个典型场景是当我们需要在Lambda函数中调用另一个Lambda函数时，可能会遇到权限验证失败的问题。

问题现象

开发者配置了两个自定义Lambda解析器：

• todoManager：用于管理Todo相关操作
• tlogManager：用于管理TLog相关操作

当单独调用tlogManager时工作正常，但当从todoManager内部调用tlogManager时，系统返回"Unauthorized"错误，提示没有访问tlogManager的权限。

根本原因分析

这个问题源于Amplify的授权机制。在默认情况下，自定义解析器不会自动继承模型的授权规则。即使主模型配置了@auth规则，自定义解析器也需要显式声明自己的授权规则。

解决方案

要解决这个问题，需要为自定义解析器明确添加授权规则：

1. 为自定义解析器添加@auth注解

tlogManager(action: String!, props: AWSJSON!): BaseCustomFunctionResult!
    @function(name: "tlogmanager-${env}")
    @auth(rules: [{ allow: private }])

2. 为返回类型中的每个字段添加适当的授权规则

type BaseCustomFunctionResult {
    success: Boolean! @auth(rules: [{ allow: public }])
    message: String! @auth(rules: [{ allow: public }])
    result: AWSJSON! @auth(rules: [{ allow: public }])
}

最佳实践建议

1. 明确授权规则：对于所有自定义解析器，都应该显式声明其授权规则，即使你认为它应该继承其他规则。

2. 粒度控制：考虑为返回类型中的每个字段单独设置授权规则，这样可以实现更细粒度的访问控制。

3. 环境一致性：确保开发、测试和生产环境中的授权规则保持一致，可以使用环境变量来管理这些规则。

4. 权限最小化：遵循最小权限原则，只为必要的操作和字段授予必要的访问权限。

技术原理

Amplify的授权系统基于AWS AppSync和Cognito的集成。当使用@auth指令时，Amplify会在后台生成相应的IAM策略和Cognito授权规则。自定义解析器作为独立的操作，需要自己的授权配置，因为它们不直接关联到特定的模型操作。

总结

在Amplify项目中配置自定义Lambda解析器时，必须特别注意授权规则的设置。通过为自定义解析器及其返回类型显式添加@auth规则，可以确保嵌套调用和直接调用都能正常工作。这种明确的权限配置不仅是解决当前问题的关键，也是构建安全可靠的Amplify应用的重要实践。