SST项目中如何为授权函数链接资源

在SST项目中，当我们需要为API Gateway的授权函数(lambda authorizer)链接资源(如DynamoDB表)时，可能会遇到资源无法访问的问题。本文将详细介绍如何正确配置资源链接，确保授权函数能够访问所需的资源。

问题背景

在SST项目中构建API Gateway时，开发者可能会遇到这样的场景：主处理函数可以正常访问链接的资源(如DynamoDB表)，但授权函数却无法访问相同的资源，并出现类似"AllowedDomains is not linked in your sst.config.ts"的错误提示。

解决方案

1. 使用Function对象替代字符串路径

在定义授权函数时，不要直接使用字符串路径指定handler，而是传递一个与sst.aws.Function组件具有相同属性的对象。在这个对象中，可以明确指定需要链接的资源。

const myAuthorizer = apiGateway.addAuthorizer({
  name: 'myAuthorizer',
  lambda: {
    function: {
      handler: 'packages/functions/src/authorizer.handler',
      link: [allowedDomainsTable], // 明确链接资源
    },
    response: 'simple',
    payload: '2.0',
    identitySources: [],
  },
});

2. 为路由单独指定链接资源

对于API路由，也可以在定义路由时单独指定需要链接的资源，这种方式更加精确，只链接实际需要的资源：

apiGateway.route(
  "GET /hello",
  {
    handler: "packages/functions/src/api.hello",
    link: [allowedDomainsTable], // 为路由单独链接资源
  },
  defaultRouteOptions
);

最佳实践

1. 精确链接：只为实际需要的函数链接必要的资源，而不是全局链接所有资源。这可以提高安全性和减少不必要的权限。

2. 模块化配置：将资源链接配置放在靠近函数定义的地方，而不是集中在一个地方，这样更容易维护和理解。

3. 最小权限原则：确保链接的资源只包含函数实际需要的权限，遵循安全最佳实践。

技术原理

SST的资源链接机制基于AWS的IAM权限系统。当我们在配置中链接资源时，SST会自动为Lambda函数生成适当的IAM策略，允许函数访问指定的资源。通过明确指定链接关系，我们可以精确控制每个函数的访问权限。

总结

在SST项目中，通过使用Function对象替代简单的字符串路径，并明确指定link属性，我们可以确保授权函数能够正确访问所需的资源。这种方法不仅解决了资源访问问题，还提供了更精细的权限控制，是SST项目开发中的推荐做法。