node.js - 为什么我的 AWS Lambda 节点 JS 应用程序无法访问我的 MongoDB Atlas 集群?
问题描述
语境 :
我刚刚创建了一个 Node.JS 应用程序,并在 AWS Lambda 上使用无服务器框架部署了它。
问题 :
我希望该应用程序能够访问我的(免费层)MongoDB Atlas Cluster。为此,我正在使用mongoose.
设置 :
我有一个具有 AdministratorAccess 权限的 IAM 用户。此用户已在我的 MongoDB 集群上获得授权。我正在使用authMechanism=MONGODB-AWS,因此使用该 IAM 用户的 Token 和 Secret。密码已正确“编码”。
这是用于创建连接的代码:
const uri = "mongodb+srv://myIAMtoken:myIAMsecret@cluster0.tfws6.mongodb.net/DBNAME?authSource=%24external&authMechanism=MONGODB-AWS&retryWrites=true&w=majority"
mongoose.connect(uri, {useNewUrlParser: true, useUnifiedTopology: true })
当我在笔记本电脑上运行此代码时,连接已建立,我可以检索所需的数据。但是,当我在 AWS Lambda 上(通过无服务器)部署这个完全相同的代码时,我得到了这个响应:
message "Internal server error"
CloudWatch 上的跟踪如下所示:
{
"errorType": "Runtime.UnhandledPromiseRejection",
"errorMessage": "MongoError: bad auth : aws sts call has response 403",
"reason": {
"errorType": "MongoError",
"errorMessage": "bad auth : aws sts call has response 403",
"code": 8000,
"ok": 0,
"codeName": "AtlasError",
"name": "MongoError",
"stack": [
"MongoError: bad auth : aws sts call has response 403",
" at MessageStream.messageHandler (/var/task/node_modules/mongodb/lib/cmap/connection.js:268:20)",
" at MessageStream.emit (events.js:314:20)",
" at processIncomingData (/var/task/node_modules/mongodb/lib/cmap/message_stream.js:144:12)",
" at MessageStream._write (/var/task/node_modules/mongodb/lib/cmap/message_stream.js:42:5)",
" at doWrite (_stream_writable.js:403:12)",
" at writeOrBuffer (_stream_writable.js:387:5)",
" at MessageStream.Writable.write (_stream_writable.js:318:11)",
" at TLSSocket.ondata (_stream_readable.js:718:22)",
" at TLSSocket.emit (events.js:314:20)",
" at addChunk (_stream_readable.js:297:12)",
" at readableAddChunk (_stream_readable.js:272:9)",
" at TLSSocket.Readable.push (_stream_readable.js:213:10)",
" at TLSWrap.onStreamRead (internal/stream_base_commons.js:188:23)"
]
},
"promise": {},
"stack": [
"Runtime.UnhandledPromiseRejection: MongoError: bad auth : aws sts call has response 403",
" at process.<anonymous> (/var/runtime/index.js:35:15)",
" at process.emit (events.js:314:20)",
" at processPromiseRejections (internal/process/promises.js:209:33)",
" at processTicksAndRejections (internal/process/task_queues.js:98:32)"
]
}
我认为这是来自 AWS 的网络访问问题,所以我尝试获取 "http://google.com" ,没问题,我的节点应用程序可以访问该页面并提供响应。我的应用程序可以访问 Internet,但无法访问我的 MongoDB 云实例。我的 MongoDB 集群可以从任何 IP 地址访问。
这已经达到了我的知识极限:-)
解决方案
如果您使用的是 iam 类型的 mongodb 用户,则连接字符串中不需要用户名 + 密码。
const uri = "mongodb+srv://cluster0.tfws6.mongodb.net/DBNAME?authSource=$external&authMechanism=MONGODB-AWS&retryWrites=true&w=majority"
当您调用连接到 mongodb 集群的 lambda 时,它将使用的 iam 角色将是 lambda 的执行角色
"arn:aws:iam::ACCOUNT_ID:role/SLS_SERVICE_NAME-ENVIRONMENT-AWS_REGION-lambdaRole"
"arn:aws:iam::123456789012:role/awesome-service-dev-us-east-1-lambdaRole"
检查 sls 框架的默认 iam 部分: https ://www.serverless.com/framework/docs/providers/aws/guide/iam/#the-default-iam-role
推荐阅读
- python - python中的插值结果向右旋转90度
- websocket - turnado websocket 发生关闭事件,代码:1006
- javascript - Mongoose Virtuals:异步设置器
- django - 将子对象中的特定字段连接到父对象中?
- umbraco - Umbraco 限制父节点下的子节点数
- npm - 如何将 Gatsby 版本从 3.14.2 降级到 ^2.0.0
- java - 如何在不下载 zip 文件的情况下获取 zip 文件的大小?
- manim - 如何在manim中控制显示速度?
- c++ - 我需要定义一个强制转换构造函数 - 一个表示文档名称的参数
- python - pyautogui screenshot 命令不起作用