Construyendo un AWS Lambda de Doble Modo con Python y Terraform
Ejemplo paso a paso
Aquí tenemos un ejemplo de Lambda en Python para procesador de mensajes SQS + API REST con protección mediante clave API + Terraform script para desplegarlo en ejecución sin servidor.
AWS Lambda te permite escribir funciones sin servidor livianas que pueden reaccionar a casi cualquier evento — desde mensajes SQS hasta solicitudes HTTP. En esta guía, construiremos una única Lambda en Python que funciona en dos modos:
- Modo SQS: Cuando se activa mediante un mensaje SQS como
{ "par": 10 }
, publica{ "res": 11 }
a otra cola. - Modo HTTP: Cuando se llama mediante API Gateway en
GET /lam?par=10
, devuelve{ "res": 11 }
al cliente.
También protegeremos el punto final HTTP usando una clave API simple codificada de forma rígida — "testkey"
.
Toda la configuración se desplegará usando Terraform.
Visión general de la arquitectura
Visualicemos lo que estamos construyendo:
La misma Lambda reacciona a ambos:
- Eventos SQS, mediante un mapeo de fuentes de eventos, y
- Solicitudes de API Gateway, mediante una integración HTTP RESTful.
Paso 1: Crear la Lambda en Python
Vamos a crear un manejador muy simple en Python que pueda distinguir entre un evento SQS y una llamada HTTP.
Archivo: lambda_function.py
import json
import os
import boto3
sqs = boto3.client("sqs")
OUTPUT_QUEUE_URL = os.environ.get("OUTPUT_QUEUE_URL")
API_KEY = os.environ.get("API_KEY", "testkey") # valor predeterminado codificado de forma rígida
def lambda_handler(event, context):
# Detectar tipo de evento
if "Records" in event: # evento SQS
return handle_sqs(event["Records"])
else: # evento HTTP
return handle_http(event)
def handle_sqs(records):
for record in records:
body = json.loads(record["body"])
par = int(body["par"])
res = par + 1
message = json.dumps({"res": res})
sqs.send_message(QueueUrl=OUTPUT_QUEUE_URL, MessageBody=message)
return {"status": "processed", "count": len(records)}
def handle_http(event):
headers = {k.lower(): v for k, v in (event.get("headers") or {}).items()}
if headers.get("x-api-key") != API_KEY:
return {
"statusCode": 403,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"error": "Prohibido"})
}
params = event.get("queryStringParameters") or {}
if "par" not in params:
return {
"statusCode": 400,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"error": "Falta el parámetro 'par'"})
}
par = int(params["par"])
return {
"statusCode": 200,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"res": par + 1})
}
Lo que tenemos en esta función Lambda:
- Los mensajes SQS se analizan como JSON.
- Cuando se activa mediante API Gateway, la función valida la clave API y el parámetro de consulta.
- La URL de la cola de salida y la clave API se pasan mediante variables de entorno.
Paso 2: Desplegar con Terraform
Terraform nos permite configurar de forma declarativa la infraestructura de AWS — Lambda, colas SQS, API Gateway y permisos — en un solo paso.
Estructura del proyecto:
project/
├── lambda/
│ └── lambda_function.py
└── infra/
└── main.tf
Configuración de Terraform (infra/main.tf
)
terraform {
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 5.0"
}
archive = {
source = "hashicorp/archive"
}
}
}
provider "aws" {
region = "us-east-1"
}
locals {
project = "lambda-sqs-api"
}
# Empaquetar Lambda
data "archive_file" "lambda_zip" {
type = "zip"
source_dir = "../lambda"
output_path = "lambda.zip"
}
# Colas SQS
resource "aws_sqs_queue" "input" {
name = "${local.project}-input"
}
resource "aws_sqs_queue" "output" {
name = "${local.project}-output"
}
# Rol IAM para Lambda
data "aws_iam_policy_document" "assume_role" {
statement {
actions = ["sts:AssumeRole"]
principals {
type = "Service"
identifiers = ["lambda.amazonaws.com"]
}
}
}
resource "aws_iam_role" "lambda_role" {
name = "${local.project}-role"
assume_role_policy = data.aws_iam_policy_document.assume_role.json
}
resource "aws_iam_policy" "lambda_policy" {
name = "${local.project}-policy"
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Effect = "Allow"
Action = [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes"
]
Resource = "*"
},
{
Effect = "Allow"
Action = [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
]
Resource = "*"
}
]
})
}
resource "aws_iam_role_policy_attachment" "lambda_policy_attach" {
role = aws_iam_role.lambda_role.name
policy_arn = aws_iam_policy.lambda_policy.arn
}
# Función Lambda
resource "aws_lambda_function" "func" {
filename = data.archive_file.lambda_zip.output_path
function_name = local.project
role = aws_iam_role.lambda_role.arn
handler = "lambda_function.lambda_handler"
runtime = "python3.12"
environment {
variables = {
OUTPUT_QUEUE_URL = aws_sqs_queue.output.id
API_KEY = "testkey"
}
}
}
# Mapeo de fuentes de eventos (SQS → Lambda)
resource "aws_lambda_event_source_mapping" "sqs_trigger" {
event_source_arn = aws_sqs_queue.input.arn
function_name = aws_lambda_function.func.arn
batch_size = 1
enabled = true
}
# API Gateway
resource "aws_api_gateway_rest_api" "api" {
name = "${local.project}-api"
}
resource "aws_api_gateway_resource" "lam" {
rest_api_id = aws_api_gateway_rest_api.api.id
parent_id = aws_api_gateway_rest_api.api.root_resource_id
path_part = "lam"
}
resource "aws_api_gateway_method" "get_lam" {
rest_api_id = aws_api_gateway_rest_api.api.id
resource_id = aws_api_gateway_resource.lam.id
http_method = "GET"
authorization = "NONE"
api_key_required = true
}
resource "aws_api_gateway_integration" "lambda_integration" {
rest_api_id = aws_api_gateway_rest_api.api.id
resource_id = aws_api_gateway_resource.lam.id
http_method = aws_api_gateway_method.get_lam.http_method
integration_http_method = "POST"
type = "AWS_PROXY"
uri = aws_lambda_function.func.invoke_arn
}
resource "aws_lambda_permission" "api_gateway" {
statement_id = "AllowAPIGatewayInvoke"
action = "lambda:InvokeFunction"
function_name = aws_lambda_function.func.function_name
principal = "apigateway.amazonaws.com"
source_arn = "${aws_api_gateway_rest_api.api.execution_arn}/*/*"
}
# Clave API y plan de uso
resource "aws_api_gateway_api_key" "key" {
name = "testkey"
value = "testkey"
enabled = true
}
resource "aws_api_gateway_usage_plan" "plan" {
name = "basic"
api_stages {
api_id = aws_api_gateway_rest_api.api.id
stage = aws_api_gateway_deployment.deploy.stage_name
}
}
resource "aws_api_gateway_usage_plan_key" "plan_key" {
key_id = aws_api_gateway_api_key.key.id
key_type = "API_KEY"
usage_plan_id = aws_api_gateway_usage_plan.plan.id
}
resource "aws_api_gateway_deployment" "deploy" {
depends_on = [aws_api_gateway_integration.lambda_integration]
rest_api_id = aws_api_gateway_rest_api.api.id
stage_name = "v1"
}
output "api_url" {
value = "${aws_api_gateway_deployment.deploy.invoke_url}/lam"
}
Paso 3: Desplegar y probar
- Inicializar Terraform:
cd infra
terraform init
- Aplicar la configuración:
terraform apply
- Probar el punto final de API Gateway:
curl -H "x-api-key: testkey" "<API_URL>?par=10"
# Se espera recibir: {"res": 11}
- Probar SQS:
Enviar un mensaje a la cola de entrada:
aws sqs send-message --queue-url <input-queue-url> --message-body '{"par": 5}'
Luego revisar la cola de salida:
aws sqs receive-message --queue-url <output-queue-url>
# Se espera recibir: {"res": 6}
Paso 4: Limpiar
Para eliminar todos los recursos:
terraform destroy
Resumen
[Cola de entrada SQS] ─▶ [Función Lambda] ─▶ [Cola de salida SQS]
▲
│
[API Gateway /lam?par=N]
│
Protegido por clave API
Acabas de construir una Lambda con múltiples disparadores que:
- Consume de y publica a colas SQS.
- Responde a solicitudes HTTP mediante API Gateway.
- Aplica una clave API mediante una simple verificación de encabezado.
- Está completamente gestionada mediante Terraform para infraestructura sin servidor reproducible.
Este patrón es ideal para transformadores de mensajes livianos, microservicios híbridos o para conectar sistemas asincrónicos y sincrónicos de AWS — todo con pocas líneas de Python y Terraform.
Si te gustaría ver un ejemplo un poco más avanzado de Lambda usando AWS SAM — por favor, revisa este post: Codificación de Lambda usando AWS SAM + AWS SQS + Python PowerTools
Enlaces útiles
- Guía de Python
- Guía de Terraform - comandos útiles y ejemplos
- Rendimiento de Lambda en AWS: JavaScript vs Python vs Golang
- Lambdas con capas usando AWS SAM y Python
- Codificación de Lambda usando AWS SAM + AWS SQS + Python PowerTools
- Visión general de AWS CDK, ejemplos en TypeScript y Python y consideraciones de rendimiento