Bygga en Dual-Mode AWS Lambda med Python och Terraform
Steg-för-steg-exempel
Sidinnehåll
Här har vi ett Python Lambda-exempel på SQS-meddelandehantering + REST API med API-nyckelskydd + Terraform-skript för att distribuera det för serverlös körning.
AWS Lambda låter dig skriva lätta serverlösa funktioner som kan reagera på nästan vilken händelse som helst — från SQS-meddelanden till HTTP-förfrågningar. I den här guiden kommer vi att bygga en enkelt Python Lambda som fungerar i två lägen:
- SQS-läge: När den triggas av ett SQS-meddelande som
{ "par": 10 }, publicerar den{ "res": 11 }till en annan kö. - HTTP-läge: När den anropas via API Gateway vid
GET /lam?par=10, returnerar den{ "res": 11 }till klienten.
Vi kommer också att skydda HTTP-ändpunkten med en enkel hårdkodad API-nyckel — "testkey".
Hela uppsättningen kommer att distribueras med hjälp av Terraform.
Arkitekturoversikt
Låt oss visualisera vad vi bygger:
Samma Lambda reagerar på både:
- SQS-händelser, via en event source mapping, och
- API Gateway-förfrågningar, via en RESTful HTTP-integration.
Steg 1: Skapa Lambda i Python
Låt oss skapa en mycket enkel hanterare i Python som kan skilja mellan ett SQS-händelse och ett HTTP-API-anrop.
Fil: lambda_function.py
import json
import os
import boto3
sqs = boto3.client("sqs")
OUTPUT_QUEUE_URL = os.environ.get("OUTPUT_QUEUE_URL")
API_KEY = os.environ.get("API_KEY", "testkey") # hårdkodad standard
def lambda_handler(event, context):
# Detektera händelsetyp
if "Records" in event: # SQS-händelse
return handle_sqs(event["Records"])
else: # HTTP-händelse
return handle_http(event)
def handle_sqs(records):
for record in records:
body = json.loads(record["body"])
par = int(body["par"])
res = par + 1
message = json.dumps({"res": res})
sqs.send_message(QueueUrl=OUTPUT_QUEUE_URL, MessageBody=message)
return {"status": "processed", "count": len(records)}
def handle_http(event):
headers = {k.lower(): v for k, v in (event.get("headers") or {}).items()}
if headers.get("x-api-key") != API_KEY:
return {
"statusCode": 403,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"error": "Forbidden"})
}
params = event.get("queryStringParameters") or {}
if "par" not in params:
return {
"statusCode": 400,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"error": "Missing par"})
}
par = int(params["par"])
return {
"statusCode": 200,
"headers": {"Content-Type": "application/json"},
"body": json.dumps({"res": par + 1})
}
Vad vi har i denna lambda-funktion:
- SQS-meddelanden tolkas som JSON.
- När den triggas av API Gateway, validerar funktionen API-nyckeln och query-parametern.
- Output-köns-URL och API-nyckeln skickas via miljövariabler.
Steg 2: Distribuera med Terraform
Terraform låter oss deklarativt konfigurera AWS-infrastruktur — Lambda, SQS-köer, API Gateway och behörigheter — på en gång.
Projektstruktur:
project/
├── lambda/
│ └── lambda_function.py
└── infra/
└── main.tf
Terraform-konfiguration (infra/main.tf)
terraform {
required_providers {
aws = {
source = "hashicorp/aws"
version = "~> 5.0"
}
archive = {
source = "hashicorp/archive"
}
}
}
provider "aws" {
region = "us-east-1"
}
locals {
project = "lambda-sqs-api"
}
# Paketera Lambda
data "archive_file" "lambda_zip" {
type = "zip"
source_dir = "../lambda"
output_path = "lambda.zip"
}
# SQS-köer
resource "aws_sqs_queue" "input" {
name = "${local.project}-input"
}
resource "aws_sqs_queue" "output" {
name = "${local.project}-output"
}
# IAM-roll för Lambda
data "aws_iam_policy_document" "assume_role" {
statement {
actions = ["sts:AssumeRole"]
principals {
type = "Service"
identifiers = ["lambda.amazonaws.com"]
}
}
}
resource "aws_iam_role" "lambda_role" {
name = "${local.project}-role"
assume_role_policy = data.aws_iam_policy_document.assume_role.json
}
resource "aws_iam_policy" "lambda_policy" {
name = "${local.project}-policy"
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Effect = "Allow"
Action = [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes"
]
Resource = "*"
},
{
Effect = "Allow"
Action = [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
]
Resource = "*"
}
]
})
}
resource "aws_iam_role_policy_attachment" "lambda_policy_attach" {
role = aws_iam_role.lambda_role.name
policy_arn = aws_iam_policy.lambda_policy.arn
}
# Lambda-funktion
resource "aws_lambda_function" "func" {
filename = data.archive_file.lambda_zip.output_path
function_name = local.project
role = aws_iam_role.lambda_role.arn
handler = "lambda_function.lambda_handler"
runtime = "python3.12"
environment {
variables = {
OUTPUT_QUEUE_URL = aws_sqs_queue.output.id
API_KEY = "testkey"
}
}
}
# Event Source Mapping (SQS → Lambda)
resource "aws_lambda_event_source_mapping" "sqs_trigger" {
event_source_arn = aws_sqs_queue.input.arn
function_name = aws_lambda_function.func.arn
batch_size = 1
enabled = true
}
# API Gateway
resource "aws_api_gateway_rest_api" "api" {
name = "${local.project}-api"
}
resource "aws_api_gateway_resource" "lam" {
rest_api_id = aws_api_gateway_rest_api.api.id
parent_id = aws_api_gateway_rest_api.api.root_resource_id
path_part = "lam"
}
resource "aws_api_gateway_method" "get_lam" {
rest_api_id = aws_api_gateway_rest_api.api.id
resource_id = aws_api_gateway_resource.lam.id
http_method = "GET"
authorization = "NONE"
api_key_required = true
}
resource "aws_api_gateway_integration" "lambda_integration" {
rest_api_id = aws_api_gateway_rest_api.api.id
resource_id = aws_api_gateway_resource.lam.id
http_method = aws_api_gateway_method.get_lam.http_method
integration_http_method = "POST"
type = "AWS_PROXY"
uri = aws_lambda_function.func.invoke_arn
}
resource "aws_lambda_permission" "api_gateway" {
statement_id = "AllowAPIGatewayInvoke"
action = "lambda:InvokeFunction"
function_name = aws_lambda_function.func.function_name
principal = "apigateway.amazonaws.com"
source_arn = "${aws_api_gateway_rest_api.api.execution_arn}/*/*"
}
# API-nyckel och användningsplan
resource "aws_api_gateway_api_key" "key" {
name = "testkey"
value = "testkey"
enabled = true
}
resource "aws_api_gateway_usage_plan" "plan" {
name = "basic"
api_stages {
api_id = aws_api_gateway_rest_api.api.id
stage = aws_api_gateway_deployment.deploy.stage_name
}
}
resource "aws_api_gateway_usage_plan_key" "plan_key" {
key_id = aws_api_gateway_api_key.key.id
key_type = "API_KEY"
usage_plan_id = aws_api_gateway_usage_plan.plan.id
}
resource "aws_api_gateway_deployment" "deploy" {
depends_on = [aws_api_gateway_integration.lambda_integration]
rest_api_id = aws_api_gateway_rest_api.api.id
stage_name = "v1"
}
output "api_url" {
value = "${aws_api_gateway_deployment.deploy.invoke_url}/lam"
}
Steg 3: Distribuera och testa
- Initiera Terraform:
cd infra
terraform init
- Tillämpa konfigurationen:
terraform apply
- Testa API Gateway-ändpunkten:
curl -H "x-api-key: testkey" "<API_URL>?par=10"
# Förväntat svar: {"res": 11}
- Testa SQS:
Skicka ett meddelande till input-kön:
aws sqs send-message --queue-url <input-queue-url> --message-body '{"par": 5}'
Därefter kontrollera output-kön:
aws sqs receive-message --queue-url <output-queue-url>
# Förväntat svar: {"res": 6}
Steg 4: Rensa upp
För att ta bort alla resurser:
terraform destroy
Sammanfattning
[SQS Input Queue] ─▶ [Lambda Function] ─▶ [SQS Output Queue]
▲
│
[API Gateway /lam?par=N]
│
Skyddad av API-nyckel
Du har just byggt en multi-trigger Lambda som:
- Konsumerar från och publicerar till SQS-köer.
- Svarar på HTTP-förfrågningar via API Gateway.
- Tvingar fram en API-nyckel med hjälp av en enkel header-kontroll.
- Hanteras helt genom Terraform för reproducerbar serverlös infrastruktur.
Det här mönstret är bra för lätta meddelandestransformatorer, hybrida mikrotjänster eller för att koppla samman asynkrona och synkrona AWS-system — allt med några rader Python och Terraform.
Om du vill se ett lite mer avancerat Lambda-exempel som använder AWS SAM - var god och kolla in den här inlägget: Kodning av Lambda med AWS SAM + AWS SQS + Python PowerTools
