构建安全的无服务器API：基于Lambda Function URL与CloudFront

引言

在构建无服务器架构的API时，许多人会首先想到经典的AWS Lambda + Amazon API Gateway组合方案——每个API端点对应一个独立的函数。然而，您是否知道，仅使用单个AWS Lambda函数就可以实现更具成本效益的API方案？同时，通过整合Amazon CloudFront和AWS WAF等服务，还能显著增强API的功能和安全性。

本文是系列文章的首篇，将围绕以下核心主题展开：

• 为什么选择Lambda函数URL来构建API？
• 什么是单函数API模式？
• 如何基于CloudFront和WAF构建安全的无服务器API架构？

Lambda函数URL的优势解析

AWS于2022年4月推出了Lambda函数URL功能，这是一个为单个Lambda函数提供内置HTTPS端点的增强特性。根据Alex Casalboni的官方博文，该功能支持为任意Lambda函数配置HTTPS端点，并且可以选择性地设置跨域资源共享（CORS）头部。

简而言之，Lambda函数URL允许开发者通过特定的URL直接调用Lambda函数，而无需依赖其他AWS服务。这种简单直接的方式特别适合构建API。此外，开发者还可以根据需求配置CORS头部，从而更灵活地处理跨域请求。

那么，既然已经有专门设计的Amazon API Gateway服务，为什么还要选择Lambda函数URL呢？Serverless Guru的Jaymit Bhoraniya在其文章中，通过多维度对比分析了两者的适用场景。笔者认为，Lambda函数URL的两大核心优势如下：

1. 成本效益：无需支付API调用费用，仅需承担Lambda函数的执行成本。
2. 超时延长：支持最长15分钟的调用超时（与Lambda函数的最大超时一致），远超API Gateway的30秒限制。

这些特性使得Lambda函数URL成为构建单函数API的理想选择。接下来，我们将深入探讨这一模式的本质。

单函数API的本质

单函数API是一种由单个Lambda函数管理所有API端点的无服务器架构模式。与传统的多函数API模式（即每个端点对应一个独立函数）相比，单函数API呈现出完全不同的设计思路。

在单函数API模式中，所有路由逻辑和业务逻辑都由单个函数的代码实现。这种模式的独特优势包括：

• 路由配置灵活：可以根据需求自定义路由逻辑。
• 支持自定义框架：例如Express等框架的集成。
• 简化部署流程：无需复杂的CloudFormation堆栈管理。
• 代码共享便捷：跨资源的代码复用更加高效。
• 权限管理粗粒度：IAM权限配置更为简单。

然而，这种模式也需要特别注意一些潜在的挑战，例如CloudWatch日志存储策略的优化以及函数并发管理的特殊处理。

单函数API模式特别适合从微服务架构向无服务器架构的平滑迁移场景。通过这种模式，开发者可以更高效地管理API端点，同时降低运维复杂度。

无服务器API的安全加固

通过将AWS CloudFront设为Lambda函数URL的主源，可以无缝集成AWS Shield和AWS WAF服务，从而显著增强API的安全性和性能。根据Jaiganesh Girinathan与Samrat Karak的研究，这种架构还能充分利用CloudFront的内容分发网络（CDN）功能，进一步优化API的响应速度。

以下是前置CloudFront的主要优势：

• Shield & WAF：有效防御DDoS攻击和常见漏洞利用。
• 边缘节点：通过全球分布的边缘节点降低延迟，提升性能。
• 缓存策略：支持自定义缓存行为规则，优化数据传输。
• 加密传输：强制启用HTTPS通信，保障数据安全。
• 自定义域名：支持个性化的API访问地址。
• API密钥验证：增强请求的路由验证机制。
• 地域封锁：基于地理位置的访问控制。

此外，为进一步提升安全性，可以结合AWS Route53和证书管理器配置自定义SSL证书。Chris Munns在AWS官方博客中提出的API密钥轮换机制也是值得借鉴的安全实践。

基于上述特性，本文推荐的架构方案是通过CloudFront分发整合Shield和WAF的单函数API模式。以下是该架构的示意图：

.png)

结论

这种基于Lambda函数URL和CloudFront的无服务器API架构，特别适合追求简洁性、安全性和高性能的应用场景。通过消除对API Gateway的依赖，直接从CloudFront调用Lambda函数，可以显著降低基础设施成本。

典型的适用场景包括需要长时间处理但并发量较低的内部同步API。这种架构不仅简化了开发流程，还为API的安全性和性能提供了强有力的保障。

感谢您的阅读，敬请期待系列文章的下一篇！

参考文献

• Casalboni, A. (2022年4月6日). 《宣布AWS Lambda函数URL：单函数微服务的内置HTTPS端点》. AWS官方博客.
• Bhoraniya, J. (2022年4月8日). 《AWS Lambda函数URL与Amazon API Gateway对比》. Serverless Guru.
• Stuyvenberg, A.J. (2021年7月28日). 《单函数API与Mono-Lambda的取舍之道》.
• Girinathan, J. 与 Karak, S. (2022年4月12日). 《使用Amazon CloudFront加速Lambda源站Web应用》. AWS官方博客.
• Novotný, A. (出版日期不详). 《CloudFront前置API Gateway的合理性分析》. StormIT.
• Sugden, D. (2020年2月9日). 《CloudFront自定义域名安全配置》. Medium平台.
• Munns, C. (2018年8月30日). 《使用Amazon API Gateway与AWS WAF保护API（第二部分）》. AWS官方博客.

原文链接: https://www.serverlessguru.com/blog/building-a-secure-serverless-api-with-lambda-function-url-and-cloudfront-part-1