Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tutorial: Verwendung AWS Lambda mit Amazon Simple Notification Service
In diesem Tutorial verwenden Sie eine Lambda-Funktion in einer, AWS-Konto um ein Amazon Simple Notification Service (AmazonSNS) -Thema in einem separaten AWS-Konto zu abonnieren. Wenn Sie Nachrichten zu Ihrem SNS Amazon-Thema veröffentlichen, liest Ihre Lambda-Funktion den Inhalt der Nachricht und gibt ihn in Amazon CloudWatch Logs aus. Um dieses Tutorial abzuschließen, verwenden Sie die AWS Command Line Interface (AWS CLI).
Gehen Sie für dieses Tutorial wie folgt vor:
-
Erstellen Sie in Konto A ein SNS Amazon-Thema.
-
Erstellen Sie in Konto B eine Lambda-Funktion, die Nachrichten aus dem Thema liest.
-
Erstellen Sie in Konto B ein Abonnement für das Thema.
-
Veröffentlichen Sie Nachrichten zum SNS Amazon-Thema in Konto A und stellen Sie sicher, dass die Lambda-Funktion in Konto B sie in CloudWatch Logs ausgibt.
Wenn Sie diese Schritte ausführen, erfahren Sie, wie Sie ein SNS Amazon-Thema so konfigurieren, dass es eine Lambda-Funktion aufruft. Sie erfahren auch, wie Sie eine AWS Identity and Access Management (IAM) -Richtlinie erstellen, die einer Ressource in einer anderen die Erlaubnis erteilt, Lambda AWS-Konto aufzurufen.
In dem Tutorial werden zwei separate AWS-Konten verwendet. Die AWS CLI Befehle veranschaulichen dies anhand von zwei benannten Profilen mit Namen accountA
undaccountB
, die jeweils für die Verwendung mit einem anderen konfiguriert sind. AWS-Konto Informationen zur Konfiguration der AWS CLI Verwendung verschiedener Profile finden Sie unter Einstellungen für Konfiguration und Anmeldeinformationsdatei im AWS Command Line Interface Benutzerhandbuch für Version 2. Stellen Sie sicher, dass Sie AWS-Region für beide Profile dieselbe Standardeinstellung konfigurieren.
Wenn die AWS CLI Profile, die Sie für die beiden erstellen, unterschiedliche Namen AWS-Konten verwenden oder wenn Sie das Standardprofil und ein benanntes Profil verwenden, ändern Sie die AWS CLI Befehle in den folgenden Schritten nach Bedarf.
Voraussetzungen
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
Um sich für eine anzumelden AWS-Konto
Öffnen Sie https://portal.aws.amazon.com/billing/die Anmeldung.
Folgen Sie den Online-Anweisungen.
Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu https://aws.amazon.com/
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
Sichern Sie Ihre Root-Benutzer des AWS-Kontos
-
Melden Sie sich AWS Management Console
als Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein. Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.
-
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für Ihren Root-Benutzer.
Anweisungen finden Sie im Benutzerhandbuch unter Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto IAM Root-Benutzer (Konsole).
Erstellen eines Benutzers mit Administratorzugriff
-
Aktivieren Sie IAM Identity Center.
Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.
-
Gewähren Sie einem Benutzer in IAM Identity Center Administratorzugriff.
Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Benutzerzugriff mit der Standardeinstellung konfigurieren IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center Benutzerhandbuch.
Anmelden als Administratorbenutzer
-
Um sich mit Ihrem IAM Identity Center-Benutzer anzumelden, verwenden Sie die Anmeldung, URL die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM Identity Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Zugangsportal.
Weiteren Benutzern Zugriff zuweisen
-
Erstellen Sie in IAM Identity Center einen Berechtigungssatz, der der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten folgt.
Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.
-
Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.
Wenn Sie das noch nicht installiert haben AWS Command Line Interface, folgen Sie den Schritten unter Installieren oder Aktualisieren der neuesten Version von AWS CLI, um es zu installieren.
Das Tutorial erfordert zum Ausführen von Befehlen ein Befehlszeilenterminal oder eine Shell. Verwenden Sie unter Linux und macOS Ihre bevorzugte Shell und Ihren bevorzugten Paketmanager.
Anmerkung
In Windows werden einige CLI Bash-Befehle, die Sie häufig mit Lambda verwenden (z. B.zip
), von den integrierten Terminals des Betriebssystems nicht unterstützt. Um eine in Windows integrierte Version von Ubuntu und Bash zu erhalten, installieren Sie das Windows-Subsystem für Linux
Ein SNS Amazon-Thema erstellen (Konto A)
So erstellen Sie das -Thema
-
Erstellen Sie in Konto A mit dem folgenden AWS CLI Befehl ein SNS Amazon-Standardthema.
aws sns create-topic --name sns-topic-for-lambda --profile accountA
Die Ausgabe sollte in etwa wie folgt aussehen:
{ "TopicArn": "arn:aws:sns:us-west-2:123456789012:sns-topic-for-lambda" }
Notieren Sie sich den Amazon-Ressourcennamen (ARN) Ihres Themas. Sie benötigen ihn im weiteren Verlauf des Tutorials, wenn Sie Ihrer Lambda-Funktion Berechtigungen zum Abonnieren des Themas hinzufügen.
Erstellen einer Funktionsausführungsrolle (Konto B)
Eine Ausführungsrolle ist eine IAM Rolle, die einer Lambda-Funktion die Erlaubnis erteilt, auf AWS Dienste und Ressourcen zuzugreifen. Bevor Sie Ihre Funktion in Konto B erstellen, erstellen Sie eine Rolle, die der Funktion grundlegende Berechtigungen zum Schreiben von Protokollen in Logs erteilt. CloudWatch In einem späteren Schritt fügen wir die Berechtigungen zum Lesen aus Ihrem SNS Amazon-Thema hinzu.
So erstellen Sie eine Ausführungsrolle
-
Öffnen Sie in Konto B die Rollenseite
in der IAM Konsole. -
Wählen Sie Rolle erstellen.
-
Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS -Service aus.
-
Wählen Sie unter Anwendungsfall die Option Lambda aus.
-
Wählen Sie Weiter.
-
Fügen Sie der Rolle wie folgt eine Richtlinie mit grundlegenden Berechtigungen hinzu:
-
Geben Sie im Suchfeld Berechtigungsrichtlinien die Zeichenfolge
AWSLambdaBasicExecutionRole
ein. -
Wählen Sie Weiter.
-
-
Schließen Sie die Rollenerstellung ab:
-
Geben Sie unter Rollendetails im Feld Rollenname den Namen
lambda-sns-role
ein. -
Wählen Sie Rolle erstellen.
-
Erstellen einer Lambda-Funktion (Konto B)
Erstellen Sie eine Lambda-Funktion, die Ihre SNS Amazon-Nachrichten verarbeitet. Der Funktionscode protokolliert den Nachrichteninhalt jedes Datensatzes in Amazon CloudWatch Logs.
In diesem Tutorial wird die Node.js 18.x-Laufzeit verwendet. Es stehen aber auch Beispielcodes für andere Laufzeitensprachen zur Verfügung. Sie können die Registerkarte im folgenden Feld auswählen, um Code für die gewünschte Laufzeit anzusehen. Der JavaScript Code, den Sie in diesem Schritt verwenden, befindet sich im ersten Beispiel, das auf der JavaScriptRegisterkarte angezeigt wird.
So erstellen Sie die Funktion
-
Erstellen Sie ein Verzeichnis für das Projekt und wechseln Sie dann zu diesem Verzeichnis.
mkdir sns-tutorial cd sns-tutorial
-
Kopieren Sie den JavaScript Beispielcode in eine neue Datei mit dem Namen
index.js
. -
Erstellen Sie ein Bereitstellungspaket mit dem folgenden
zip
-Befehl.zip function.zip index.js
-
Führen Sie den folgenden AWS CLI Befehl aus, um Ihre Lambda-Funktion in Konto B zu erstellen.
aws lambda create-function --function-name Function-With-SNS \ --zip-file fileb://function.zip --handler index.handler --runtime nodejs18.x \ --role arn:aws:iam::
<AccountB_ID>
:role/lambda-sns-role \ --timeout 60 --profile accountBDie Ausgabe sollte in etwa wie folgt aussehen:
{ "FunctionName": "Function-With-SNS", "FunctionArn": "arn:aws:lambda:us-west-2:123456789012:function:Function-With-SNS", "Runtime": "nodejs18.x", "Role": "arn:aws:iam::123456789012:role/lambda_basic_role", "Handler": "index.handler", ... "RuntimeVersionConfig": { "RuntimeVersionArn": "arn:aws:lambda:us-west-2::runtime:7d5f06b69c951da8a48b926ce280a9daf2e8bb1a74fc4a2672580c787d608206" } }
-
Notieren Sie sich den Amazon-Ressourcennamen (ARN) Ihrer Funktion. Sie benötigen es später im Tutorial, wenn Sie Berechtigungen hinzufügen, SNS damit Amazon Ihre Funktion aufrufen kann.
Hinzufügen von Berechtigungen zur Funktion (Konto B)
Damit Amazon SNS Ihre Funktion aufrufen kann, müssen Sie ihr in einer Erklärung zu einer ressourcenbasierten Richtlinie die Erlaubnis erteilen. Sie fügen diese Anweisung mit dem Befehl hinzu. AWS CLI add-permission
Um Amazon die SNS Erlaubnis zu erteilen, Ihre Funktion aufzurufen
-
Führen Sie in Konto B den folgenden AWS CLI Befehl aus und verwenden Sie dabei das zuvor ARN für Ihr SNS Amazon-Thema aufgezeichnete.
aws lambda add-permission --function-name Function-With-SNS \ --source-arn arn:aws:sns:
us-east-1:<AccountA_ID>
:sns-topic-for-lambda \ --statement-id function-with-sns --action "lambda:InvokeFunction" \ --principal sns.amazonaws.com --profile accountBDie Ausgabe sollte in etwa wie folgt aussehen:
{ "Statement": "{\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\": \"arn:aws:sns:us-east-1:<AccountA_ID>:sns-topic-for-lambda\"}}, \"Action\":[\"lambda:InvokeFunction\"], \"Resource\":\"arn:aws:lambda:us-east-1:<AccountB_ID>:function:Function-With-SNS\", \"Effect\":\"Allow\",\"Principal\":{\"Service\":\"sns.amazonaws.com\"}, \"Sid\":\"function-with-sns\"}" }
Anmerkung
Wenn das Konto mit dem SNS Amazon-Thema in einem Opt-In gehostet wird AWS-Region, müssen Sie die Region im Prinzipal angeben. Wenn Sie beispielsweise mit einem SNS Amazon-Thema in der Region Asien-Pazifik (Hongkong) arbeiten, müssen Sie sns.ap-east-1.amazonaws.com
statt sns.amazonaws.com
für den Principal angeben.
Kontoübergreifende Berechtigungen für ein SNS Amazon-Abonnement erteilen (Konto A)
Damit Ihre Lambda-Funktion in Konto B das SNS Amazon-Thema abonnieren kann, das Sie in Konto A erstellt haben, müssen Sie Konto B die Erlaubnis erteilen, Ihr Thema zu abonnieren. Sie erteilen diese Berechtigung mit dem AWS CLI add-permission
Befehl.
Erteilen der Berechtigung zum Abonnieren des Themas durch Konto B
-
Führen Sie in Konto A den folgenden AWS CLI Befehl aus. Verwenden Sie das ARN für das SNS Amazon-Thema, das Sie zuvor aufgenommen haben.
aws sns add-permission --label lambda-access --aws-account-id
<AccountB_ID>
\ --topic-arn arn:aws:sns:us-east-1:<AccountA_ID>
:sns-topic-for-lambda \ --action-name Subscribe ListSubscriptionsByTopic --profile accountA
Erstellen eines Abonnements (Konto B)
In Konto B abonnieren Sie jetzt Ihre Lambda-Funktion für das SNS Amazon-Thema, das Sie zu Beginn des Tutorials in Konto A erstellt haben. Wenn eine Nachricht an dieses Thema (sns-topic-for-lambda
) gesendet wird, SNS ruft Amazon Ihre Lambda-Funktion Function-With-SNS
in Konto B auf.
Erstellen eines Abonnements
-
Führen Sie in Konto B den folgenden AWS CLI Befehl aus. Verwenden Sie Ihre Standardregion, in der Sie Ihr Thema erstellt haben, und die ARNs für Ihr Thema und die Lambda-Funktion.
aws sns subscribe --protocol lambda \ --region
us-east-1
\ --topic-arn arn:aws:sns:us-east-1:<AccountA_ID>
:sns-topic-for-lambda \ --notification-endpoint arn:aws:lambda:us-east-1:<AccountB_ID>
:function:Function-With-SNS \ --profile accountBDie Ausgabe sollte in etwa wie folgt aussehen:
{ "SubscriptionArn": "arn:aws:sns:us-east-1:<AccountA_ID>:sns-topic-for-lambda:5d906xxxx-7c8x-45dx-a9dx-0484e31c98xx" }
Veröffentlichen von Nachrichten für das Thema (Konto A und Konto B)
Jetzt, da Ihre Lambda-Funktion in Konto B Ihr SNS Amazon-Thema in Konto A abonniert hat, ist es an der Zeit, Ihr Setup zu testen, indem Sie Nachrichten zu Ihrem Thema veröffentlichen. Um zu bestätigen, dass Amazon Ihre Lambda-Funktion aufgerufen SNS hat, verwenden Sie CloudWatch Logs, um die Ausgabe Ihrer Funktion anzusehen.
Veröffentlichen einer Nachricht für Ihr Thema und Anzeigen der Ausgabe Ihrer Funktion
-
Geben Sie
Hello World
in eine Textdatei ein und speichern Sie sie alsmessage.txt
. -
Führen Sie in demselben Verzeichnis, in dem Sie Ihre Textdatei gespeichert haben, den folgenden AWS CLI Befehl in Konto A aus. Verwenden Sie den ARN für Ihr eigenes Thema.
aws sns publish --message file://message.txt --subject Test \ --topic-arn arn:aws:sns:
us-east-1:<AccountA_ID>
:sns-topic-for-lambda \ --profile accountADadurch wird eine Nachrichten-ID mit einer eindeutigen Kennung zurückgegeben, die angibt, dass Amazon die Nachricht akzeptiert SNS hat. Amazon versucht SNS dann, die Nachricht an die Abonnenten des Themas weiterzuleiten. Um zu bestätigen, dass Amazon Ihre Lambda-Funktion aufgerufen SNS hat, verwenden Sie CloudWatch Logs, um die Ausgabe Ihrer Funktion einzusehen:
-
Öffnen Sie in Konto B die Seite Protokollgruppen
der CloudWatch Amazon-Konsole. -
Wählen Sie die Protokollgruppe für Ihre Funktion (
/aws/lambda/Function-With-SNS
) aus. -
Wählen Sie den neuesten Protokollstreams aus.
-
Wenn Ihre Funktion korrekt aufgerufen wurde, sieht die Ausgabe in etwa wie folgt aus und enthält die Inhalte der Nachricht, die Sie für Ihr Thema veröffentlicht haben.
2023-07-31T21:42:51.250Z c1cba6b8-ade9-4380-aa32-d1a225da0e48 INFO Processed message Hello World 2023-07-31T21:42:51.250Z c1cba6b8-ade9-4380-aa32-d1a225da0e48 INFO done
Bereinigen Ihrer Ressourcen
Sie können jetzt die Ressourcen, die Sie für dieses Tutorial erstellt haben, löschen, es sei denn, Sie möchten sie behalten. Indem Sie AWS Ressourcen löschen, die Sie nicht mehr verwenden, vermeiden Sie unnötige Kosten für Ihre AWS-Konto.
Bereinigen Sie in Konto A Ihr SNS Amazon-Thema.
Um das SNS Amazon-Thema zu löschen
-
Öffnen Sie die Themenseite
der SNS Amazon-Konsole. -
Wählen Sie das Thema aus, das Sie gerade erstellt haben.
-
Wählen Sie Löschen.
-
Geben Sie
delete me
in das Texteingabefeld ein. -
Wählen Sie Löschen.
Bereinigen Sie in Konto B Ihre Ausführungsrolle, Ihre Lambda-Funktion und Ihr SNS Amazon-Abonnement.
So löschen Sie die Ausführungsrolle
-
Öffnen Sie die Rollenseite
der IAM Konsole. -
Wählen Sie die von Ihnen erstellte Ausführungsrolle aus.
-
Wählen Sie Löschen.
-
Geben Sie den Namen der Rolle in das Texteingabefeld ein und wählen Sie Delete (Löschen) aus.
So löschen Sie die Lambda-Funktion:
-
Öffnen Sie die Seite Funktionen
der Lambda-Konsole. -
Wählen Sie die Funktion aus, die Sie erstellt haben.
-
Wählen Sie Aktionen, Löschen aus.
-
Geben Sie
delete
in das Texteingabefeld ein und wählen Sie Delete (Löschen) aus.
Um das SNS Amazon-Abonnement zu löschen
-
Öffnen Sie die Abonnementseite
der SNS Amazon-Konsole. -
Wählen Sie das von Ihnen erstellte Abonnement aus.
-
Wählen Sie Löschen, Löschen aus.