Nachricht erhalten: Verbotene Antwort vom AWS API-Gateway

Ich versuche, einen Lambda-Dienst in AWS zu erstellen und von außen über das API-Gateway darauf zugreifen zu lassen, ohne dass eine Authentifizierung oder Einschränkung erforderlich ist.

Um die Sache zu vereinfachen, habe ich das Gateway vorerst als Mock eingerichtet.

Bei der Get-Methode der API ist die Autorisierung auf Noneund der API-Schlüssel auf festgelegt not required.

Wenn ich dies versuche, erhalte ich {"message":"Forbidden"} (dieselbe Nachricht, wenn ich es mit dem eigentlichen Lambda-Dienst verbinde).

Irgendwelche Ratschläge, wie man es zugänglich macht?

Wenn Sie die Option "API-Schlüssel erforderlich" auf "true" setzen, überprüfen Sie dies bitte unten.

1. Sie müssen den HTTP-Header-Parameter 'x-api-key' an das API-Gateway übergeben.
2. Der API-Schlüssel musste erstellt werden.
3. Darüber hinaus müssen Sie einen Nutzungsplan für den API-Schlüssel in der API-Gateway-Konsole überprüfen.

Wählen Sie im API-Gateway-Dashboard Ressourcen aus, klicken Sie auf Aktionen und wählen Sie API bereitstellen. Vor Ihrer ersten Bereitstellung erhalten Sie nur die Antwort {"message":"Forbidden"}.

Wenn Sie einen benutzerdefinierten Domainnamen verwenden und vergessen, die Zielbereitstellung auszuwählen, wird die ForbiddenNachricht angezeigt.

Gehen Sie einfach zu Custom Domain Namesund klicken Sie Editunter Ihrer Domain und wählen Sie dann die Stufe unter aus Base Path Mappings.

Sie müssen Ihre API auf der Bühne bereitstellen und die URL der Bühne verwenden. Gehen Sie zu Ressourcen, klicken Sie auf Aktionen und wählen Sie API bereitstellen

Nun, wenn Sie Fehler bekommen

{"message": "Forbidden"}.

Bitte überprüfen Sie die folgenden Schritte

1) Wenn Sie die API-Schlüsselkopie aktivieren und Ihren Schlüssel als Postbote übergeben

2) Wenn Sie jetzt immer noch den gleichen Fehler erhalten, müssen Sie einen Nutzungsplan erstellen

3) Setzen Sie ein Limit und weisen Sie Ihrer API einen Plan zu

Ich hatte ein ähnliches Problem und Folgendes:

1. Eine benutzerdefinierte Domain (kantenoptimiert)
2. Mehrere Stufen (dev, inszenierung, prod)

Ich habe auch keine Autorisierung oder Einschränkungen festgelegt, um die Dinge zu vereinfachen.

Ich konnte das Problem beheben, indem ich Basispfadzuordnungen für jede meiner Stufen (dev, staging, prod) hinzufügte.

Wenn Sie den erforderlichen 'API'-Schlüssel auf true setzen, müssen Sie den API-Schlüssel als Header übergeben.

Der API-Schlüssel wird als Header-Feld 'x-api-key' übergeben. Auch nach dem Hinzufügen dieses Felds in der Kopfzeile kann dieses Problem auftreten. In diesem Fall validieren Sie bitte die folgenden Punkte

• Haben Sie einen Nutzungsplan? Wenn nicht, müssen Sie eine erstellen.
• Verknüpfen Sie Ihre API mit dem Nutzungsplan. Fügen Sie dazu eine Stufe hinzu, die Ihre API verknüpft.
• Haben Sie einen API-Schlüssel? Wenn nicht, müssen Sie einen API-Schlüssel erstellen und aktivieren.
• Fügen Sie diesem API-Schlüssel den Nutzungsplan hinzu, der mit Ihrer API verknüpft ist. Fügen Sie dazu den Nutzungsplan hinzu.

Ich bin möglicherweise zu spät, aber einer der Gründe, warum API Gateway eine "verbotene" Nachricht ausgibt, ist, dass Sie Daten in Request Body für eine GET-Operation übergeben. Um das Problem zu lösen, machen Sie entweder Ihre Ressource POST oder Sie übergeben keine Daten im Anforderungshauptteil.

Dies mag alles andere als offensichtlich sein, aber ein weiterer Grund für den Fehler "Verboten" bei Verwendung von AWS API Gateway ist möglicherweise der Aufruf einer falschen URL, die keiner bereitgestellten API-Methode entspricht. Es kann vorkommen, dass Sie tatsächlich eine falsche URL eingeben (z. B. anstatt anzurufen https://9999xx9x99.execute-api.us-east-1.amazonaws.com/dev/users( devPhase vorher notieren users), die Sie angerufen haben https://9999xx9x99.execute-api.us-east-1.amazonaws.com/users(keine Phase). Sie würden erwarten, 404 zu erhalten, aber Sie erhalten 403.

Übrigens: Nachdem Sie eine Bereitstellung für das https://9999xx9x99.execute-api.us-east-1.amazonaws.com/dev/usersAnrufen vorgenommen haben https://9999xx9x99.execute-api.us-east-1.amazonaws.com/user(beachten Sie hier das Singular-Nomen-Formular), erhalten Sie ebenfalls… 403, jedoch mit der Meldung "Missing Authentication Token"!

Wenn Authorizationund API KEY Requiredbeide für die Methode auf true gesetzt sind, stellen Sie sicher, dass Sie beim Senden der Anforderung die folgenden Header haben:

1. Inhaltstyp (normalerweise application / x-www-form-urlencoded, wenn GET-Aufruf)
2. GASTGEBER
3. X-Amz-Datum
4. Genehmigung
5. x-api-key

Ich verwende POSTMANfür API-Tests, die ziemlich zuverlässig sind und dann einfach sind.

Hinweis: Fügen Sie keine x-api-Schlüsselüberschrift hinzu, wenn Sie API KEY REQUIREDFALSE festgelegt haben. Wenn Sie AUTHORIZATIONFALSE festgelegt haben, fügen Sie keinen Autorisierungsheader hinzu.

Der einzige andere Grund, den ich erlebt habe und den ich hier nicht sehe, ist buchstäblich, dass Sie versucht haben, die API nach der Veröffentlichung zu schnell zu erreichen. Ich drücke auf "Veröffentlichen" und sehe den Domainnamen "Ihre API ist erreichbar unter" und kopiere ihn sofort und füge ihn in Postman ein, um ihn zu überprüfen.

Ich bekomme die verbotene Nachricht. Ändere nichts. Überprüfen Sie alle Einstellungen, um sicherzustellen, dass ich nichts getan habe - alles ist korrekt. Ein bisschen meine Haare ausreißen.

Kommen Sie ein paar Minuten später zurück, um es zu versuchen, denn ich bin mir ziemlich sicher, dass ich alles richtig mache - es funktioniert.

DNS Mann. Egal wie schnell das Internet ist - es ist nicht sofort :)

Ich habe diesen Fehler von einem Nginx-Fargate-Dienst erhalten, der versucht, auf eine private API in API Gateway zuzugreifen. Ich musste in meiner API eine Richtlinie unter Ressourcenrichtlinien hinzufügen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:<AccountID>:<RestApiID>/*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpce": "<VPC Endpoint ID for execute-api>"
                }
            }
        }
    ]
}

Es gibt einige Dinge zu tun, wenn wir die {Nachricht: Verboten} im API-Gateway erhalten:

CORS aktiviert?

1. Überprüfen Sie, ob CORS in der API aktiviert ist (lassen Sie zunächst den Ursprung '*' zu, um sicherzustellen, dass wir sicher testen können).
2. Stellen Sie die API bereit, um sicherzustellen, dass alle Einstellungen den Erwartungen entsprechen

API-Schlüssel aktiviert?

3. Überprüfen Sie, ob der API-Schlüssel im API-Gateway aktiviert ist
4. Überprüfen Sie, ob ein API-Schlüssel konfiguriert ist.
5. Überprüfen Sie, ob Ihr API-Schlüssel dem richtigen Verwendungsplan zugewiesen ist, und fügen Sie eine API-Stufe hinzu. Ohne die API-Stufe erhalten Sie immer eine {Nachricht: Verboten}

Wenn Sie immer noch Probleme haben, lassen Sie es mich wissen, damit ich oder einer unserer Cloud-Gurus @levarne helfen kann.

Ich könnte auf eine Lösung für dieses Problem gestoßen sein. Ich hatte jetzt das gleiche Problem unter MacOS. Ich habe versucht, mein DNS zu leeren und dann hat es funktioniert!

Versuchen Sie dies im Terminal:

Mac OS X Yosemite und höher

sudo killall -HUP mDNSResponder

Mac OS X Yosemite 10.10 bis 10.10.3

sudo discoveryutil mdnsflushcache

Mac OS X Mavericks, Berglöwe und Löwe

sudo killall -HUP mDNSResponder

Mac OS X Schneeleopard

sudo dscacheutil -flushcache

Lokale Firewall / Antivirus oder NGIPS ( Cisco Bluecoat ). Letzteres war mein Fall, in dem ich nicht einmal Protokolle in CloudWatch von meiner API erhalten würde. Es erlaubte meiner Domain-gehosteten Top-Level-Website, blockierte jedoch mit 403 die apiSubdomain, ohne dass sich auf der Registerkarte "Netzwerk-Entwickler-Tools" des Browsers ein Text befand.

Ich habe {"message":"Forbidden"}eine API mit EndpointConfiguration auf PRIVATE gesetzt und einen VpcEndpoint dafür in den privaten Subnetzen des Vpc erstellt (dies ist eine Inter-Service-API).

Der Grund, den ich bekam, {"message":"Forbidden"}war, dass ich den Eindruck hatte, ich sollte eine der URLs des VpcEndpoint verwenden. Die zu verwendende URL ist immer noch die mit der Bühne verknüpfte (in der ApiGateway-Konsole). Es ist:

https://${RestApiId}.execute-api.${Region}.amazonaws.com/${StageName}

Wir hatten dieses Problem in unserer Produktion, als wir Kong als API-Gateway verwendeten. Unsere Anfragen gingen durch, als sie von Postman initiiert wurden, gingen jedoch mit 403 fehl, wenn sie über Code initiiert wurden. Das Bot-Plugin in Kong wurde aktiviert, das nur Anforderungen zuließ, die vom Browser oder der mobilen App basierend auf dem Headerwert des Benutzeragenten initiiert wurden. Unsere über den HTTP-Client initiierten Anforderungen sind fehlgeschlagen. Sobald wir das Bot-Plugin deaktiviert haben, ist der Fehler nicht aufgetreten. Es ermöglicht jetzt die Anforderung, ob der Benutzeragent Apache-HttpClient / 4.5.2 (Java / 1.8.0_91) ist.

Ich bringe meine Erfahrung auch hier ein. Ich habe all diese Dinge oben ausprobiert und es stellte sich heraus, dass das Setzen der Domain mit einem Platzhalter mein {"message": "Forbidden"} -Problem gelöst hat : * .mydomain.com

Nur eine Anmerkung zu dem ähnlichen Fall, auf den ich mit Swagger Editor gestoßen bin:

• Ich habe die OpenAPI 3.0 YAML von API Gateway exportiert → Stufen → "Prod" auswählen → Registerkarte "Exportieren" auswählen → Radiobutton auf "OpenAPI 3" umschalten → "Als OpenAPI 3 + API Gateway-Erweiterungen exportieren"
• Fügen Sie die empfangene YAML in https://editor.swagger.io/ ein.
• Führen Sie eine einfache GET-Methode aus.
• Es kehrt 403 Forbiddenmit dem {"message":"Forbidden"}Körper zurück.

curl Der Befehl von Swagger Editor sah folgendermaßen aus:

curl -X GET "https://xxx52xxxx9.execute-api.eu-central-1.amazonaws.com//Prod/users" -H "accept: application/json"

(Beachten Sie das Doppel //vor Prod).

Und der gleiche curlBefehl ohne //über die Kommandozeile funktioniert!

Der Trick, der funktioniert hat, besteht darin, diese serverin dem vom API-Gateway generierten Struktur zurückgegebene Struktur zu ersetzen :

servers:
  - url: "https://xxx52xxxx9.execute-api.eu-central-1.amazonaws.com/{basePath}"
    variables:
      basePath:
        default: "/Prod"

Mit dem vollen urlohne variables:

servers:
  - url: "https://xxx52xxxx9.execute-api.eu-central-1.amazonaws.com/Prod"

Insbesondere hat das Entfernen des führenden Schrägstrichs default: "/Prod"nicht geholfen.

In meinem Fall war der API-Schlüssel nicht aktiviert. Stellen Sie sicher, dass die API als Aktiviert festgelegt ist.

Wie @ gary69 und @Adriaan Pelzer erwähnen

https://stackoverflow.com/a/52727654/809043

https://stackoverflow.com/a/55136675/809043

Sie können die Nachricht {"message": "Forbidden"} erhalten, wenn Sie eine private API anfordern.

Wenn Sie also ein Setup haben, bei dem der gesamte Datenverkehr über einen API-Endpunkt geleitet werden soll, der den Datenverkehr dann an das API-Gateway weiterleitet, können die folgenden Parameter verwendet werden.

APIGatewayVPCEndpoint:
  Type: 'AWS::EC2::VPCEndpoint'
  Properties:
    PolicyDocument: '{
        "Version":"2012-10-17",
        "Statement":[{
          "Effect":"Allow",
          "Principal": "*",
          "Action":["execute-api:Invoke"],
          "Resource":["arn:aws:execute-api:eu-north-1:000000000000:*/*"]
        }]
      }'
  ...
  VpcEndpointType: Interface
  PrivateDnsEnabled: true

Wenn PrivateDnsEnabled aktiviert ist, muss der Endpunkt im API-Gateway vom Typ Privat sein und eine Richtlinie muss hinzugefügt werden.

  ApiGatewayRest:
    Type: AWS::ApiGateway::RestApi
    Properties:
      Description: A mocked API
      Name: Mocked API
      EndpointConfiguration:
        Types:
          - PRIVATE
      Policy: '{
        "Version": "2012-10-17",
        "Statement": [{
          "Effect": "Allow",
          "Principal": "*",
          "Action": "execute-api:Invoke",
          "Resource": "arn:aws:execute-api:eu-north-1:000000000000:*/*/*/*"
        }]
      }'

Dieser Forenthread hat mir geholfen, einige Details zu klären

https://forums.aws.amazon.com/thread.jspa?threadID=286760