AWS SAM中IntrinsicVpceWhitelist策略的注意事项

2025-05-24 16:57:26作者：贡沫苏Truman

在使用AWS Serverless Application Model（SAM）创建私有API网关时，开发者可能会遇到一个常见问题：当尝试通过IntrinsicVpceWhitelist设置VPC终端节点白名单时，策略未能正确应用到API网关资源上。本文将深入分析这一现象的原因及解决方案。

问题现象分析

当开发者使用以下SAM模板创建私有API网关时：

Resources:
  PrivateAPI:
    Type: AWS::Serverless::Api
    Properties:
      EndpointConfiguration: PRIVATE
      Auth:
        ResourcePolicy:
          IntrinsicVpceWhitelist:
            - vpce-xxxxxxxx

部署过程中可能会收到错误提示："Private REST API doesn't have a resource policy attached to it"。这表明虽然开发者在模板中指定了资源策略，但实际部署时该策略并未被正确应用。

根本原因

经过深入分析，发现这一问题的根本原因在于：

API网关资源策略的生成机制：SAM仅在API网关包含实际方法（如GET、POST等）时才会生成完整的资源策略。如果API网关没有任何关联的方法，即使模板中指定了IntrinsicVpceWhitelist，SAM也不会生成相应的资源策略。
API网关的验证机制：AWS API Gateway服务要求私有API必须关联有效的资源策略，否则会拒绝创建部署资源（AWS::ApiGateway::Deployment）。

解决方案

要解决这一问题，开发者需要确保：

API网关包含至少一个方法：可以通过关联一个Lambda函数或其他集成方式来添加方法。
完整示例模板：

Resources:
  PrivateAPI:
    Type: AWS::Serverless::Api
    Properties:
      Name: private-api-example
      EndpointConfiguration: PRIVATE
      Auth:
        ResourcePolicy:
          IntrinsicVpceWhitelist:
            - vpce-xxxxxxxx
      MethodSettings:
        - HttpMethod: "*"
          ResourcePath: "/*"

  ExampleFunction:
    Type: AWS::Serverless::Function
    Properties:
      Events:
        ApiEvent:
          Type: Api
          Properties:
            Path: /example
            Method: GET
            RestApiId: !Ref PrivateAPI
      Runtime: python3.12
      Handler: index.handler
      InlineCode: |
        def handler(event, context):
            return {'body': 'Hello World!', 'statusCode': 200}

技术细节解析

当API网关关联了方法后，SAM会在转换过程中生成完整的Swagger定义，其中包含：

x-amazon-apigateway-policy：这是API网关资源策略的Swagger扩展字段，包含两条关键语句：
- 允许所有主体调用API的权限声明
- 限制仅特定VPC终端节点可以访问的拒绝声明
方法集成定义：包含Lambda集成的配置信息
完整的路径定义：包含所有已定义的方法和路径