João Pedro Schmitt's questions

Configurei um REST API Gateway que fornece serviços via integração Lambda. Esta API é protegida por um autorizador AWS Lambda, que valida se o token JWT passado como cabeçalho na solicitação é válido ou não. Isso significa que apenas usuários registrados com tokens JWT válidos podem chamar esta API. No entanto, além de usuários->API, também precisamos fornecer comunicação sistemas->API que não deve depender de "usuários do sistema" para chamar a API.

Até agora configurei todos os meus recursos no API Gateway para usar a função Lambda Authorizer como método de autorização, isso atende ao fluxo de comunicação usuários-> API.

Para a comunicação sistemas->API, estava pensando em permitir a comunicação via IAM Roles. A ideia é que os sistemas possam assumir uma função AWS e assinar as solicitações HTTP usando AWS SigV4. Dessa forma, eu poderia usar políticas de recursos do gateway da API REST para permitir ou negar o acesso dos sistemas à API por meio de políticas da AWS (validando funções específicas como principais), mas isso exigiria ignorar a autorização lambda para este caso de uso.

A documentação da AWS não é clara sobre as opções para esta combinação de casos de uso. Parece que para a autorização de funções IAM por meio de políticas de recursos, eu precisaria alterar as configurações de recursos do API Gateway para usar AWS_IAM como método de autenticação em vez de LAMBDA. Embora os documentos mencionem a possibilidade de combinar políticas de recursos de API e autorizador Lambda, isso só parece aplicável para bloquear solicitações que não sejam provenientes de um VPC ou intervalo de IP específico ( link ).

Em resumo, o que quero alcançar é algo como:

User's requests  --(JWT)--> Lambda Authorizer ---|
(Identity via Oauth)                             |
                                                 |-> API Gateway
System's requests --(SigV4)--> Resource Policy --|
(Identity via IAM Role)

Portanto, não encontrei uma maneira de ter ambos os fluxos de autorização para meus dois casos de uso separados de maneira exclusiva. Descobri que só posso ter um para cada endpoint de recurso do API Gateway.

Alguém sabe se meu objetivo pode ser alcançado usando REST API Gateways? Caso contrário, existem outras alternativas para este problema?

Eu tenho um arquivo CSV que contém o seguinte conteúdo:

id,value
123,{"M":{"name_1":{"S":"value_1"}, "name_2":{"S":"value_2"}}}

Estou tentando ler esse arquivo CSV e criar registros no DynamoDB da seguinte forma:

locals {
  custom_data = csvdecode(file("${path.module}/../custom_data.csv"))
}

resource "aws_dynamodb_table_item" "custom_table_item" {
  for_each = {for row in local.custom_data : row.id => row}

  table_name = aws_dynamodb_table.custom_table.name
  hash_key   = aws_dynamodb_table.custom_table.hash_key

  item = jsonencode({
    "id" : { "S" : each.value.id },
    "value" : jsondecode(each.value.value)
  })

  lifecycle {
    ignore_changes = [item]
  }
}

No entanto, esse código não funciona e não consigo encontrar nenhum exemplo de como ler os valores entre aspas duplas do arquivo CSV de uma forma que jsondecodepossa criar a estrutura JSON apropriada. Alguém sabe como fazer isso?