如 文档 所述,我为Viewer Response的CloudFront触发器设置了Lambda@edge。
Lambda函数代码:
'use strict';
exports.handler = (event, context, callback) => {
console.log('----EXECUTED------');
const response = event.Records[0].cf.response;
console.log(event.Records[0].cf_response);
callback(null, response);
};
我已经适当设置了Viewer Response事件的触发器。
现在,当我通过CloudFront提交请求时,它应该被记录在CloudWatch中,但实际上并没有。
如果我使用按钮进行简单的测试Lambda函数,则可以正确记录。
这里可能出了什么问题?
当您部署Lambda@Edge函数时,该函数会被部署到全球各个边缘缓存区域,并具有Lambda@Edge函数的版本副本。 区域边缘缓存是主要AWS区域和边缘位置的子集。
当用户请求最近的POP/Edge时,将调用与边缘缓存区域相关联的Lambda函数。所有这些区域关联Lambda的日志将在它们所在的边缘缓存区域CloudWatch日志中。
例如:
如果用户命中us-east-1区域,则其关联的日志将在us-east-1中。
要确切地知道(在哪个区域)您的函数正在记录,可以运行此AWS CLI脚本:
FUNCTION_NAME=function_name_without_qualifiers
for region in $(aws --output text ec2 describe-regions | cut -f 3)
do
for loggroup in $(aws --output text logs describe-log-groups --log-group-name "/aws/lambda/us-east-1.$FUNCTION_NAME" --region $region --query 'logGroups[].logGroupName')
do
echo $region $loggroup
done
done
你需要用你的lambda@edge名称替换“function_name_without_qualifiers”。链接
希望对你有所帮助。
cut -3 改为 cut -4,另一次是移除硬编码的 us-east-1 日志组名称。对于我来说,它不是日志组名称的一部分。虽然这些都已完成,但我仍未收到任何日志。我可以看到我的测试运行的日志,但 CloudFront 没有做任何事情。 - jiggy对于那些也在搜索日志但无法使用@Kannaiyan提供的脚本找到它们的人。
简而言之,为您的Lambda函数使用此IAM角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*:*"
]
}
]
}
====
确保您拥有正确的IAM角色。如果您先创建了一个Lambda,然后再将其部署到Lambda@Edge中,那么自动生成的IAM角色仅具有足够在名为Lambda函数名称的日志组中记录单个区域的数据权限,而使用Lambda@Edge意味着它将尝试在不同的区域中记录数据到"/aws/lambda/ ."日志组中。因此,有必要更改IAM角色以允许在不同区域中创建日志组并在那里写入访问权限。在TL;DR部分,我提供了示例IAM角色,但请确保在生产环境中缩小访问范围到特定的日志组列表。
当您查看日志文件时,请注意日志文件存储在执行函数的位置最接近的区域中。因此,如果您从伦敦等地访问网站,则必须更改区域以查看伦敦区域的CloudWatch日志。
如果您使用“无服务器”框架,它会默认创建一个IAM用户,并仅授予执行区域的日志记录权限,并将其锁定到应用程序名称(这对于Edge函数不起作用,因为它们由安装函数的区域前缀,因此需要不同的权限)。
您必须指定自定义角色,并根据https://www.serverless.com/framework/docs/providers/aws/guide/iam将该角色应用于您的函数。
请注意,以下代码片段使用*而不是- Ref:'AWS :: Region',以及在信任关系中使用了额外的edgelambda.amazonaws.com服务。
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
- edgelambda.amazonaws.com
Action: sts:AssumeRole
Policies:
- PolicyName: myPolicyName
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow # note that these rights are given in the default policy and are required if you want logs out of your lambda(s)
Action:
- logs:CreateLogGroup
- logs:CreateLogStream
- logs:PutLogEvents
Resource:
- 'Fn::Join':
- ':'
-
- 'arn:aws:logs'
- '*'
- Ref: 'AWS::AccountId'
- 'log-group:/aws/lambda/*:*:*'
By default it does add the `AWSLambdaVPCAccessExecutionRole` policy to the lambda role, but I do not know why it does not create the Log Stream. Maybe I've missed something, but after doing the above, it works now.
response.headers['x-lambda-region'] = [{ key: 'X-Lambda-Region', value: process.env.AWS_REGION }];,如果你的触发器成功运行,你会看到一个X-Lambda-Region标头已经添加到响应中,告诉你参与处理请求的区域。你有什么想法? - Michael - sqlbot