[AWS] Slack Slash Commands로 API Gateway 통합된 Lambda 함수 호출하기(+IAM, CloudWatch)

☄️ To-Be Architecture

To-Be Architectrue

 

Slack Slash commands를 이용하여 API Gateway를 통해 Lambda 함수를 호출해보자.

(Slack Docs: Enabling interactivity with Slash Commands를 먼저 읽고 Slash Command가 어떤 것인지, 어떤 형태로 데이터를 보내는지 파악한 후 시작하시는 것을 추천합니돠.)

 

 

 

 

 

 

 

IAM

Lambda 함수에 연결할 IAM 역할을 생성하자. API Gateway가 Lambda 함수를 invoke 할 수 있는 권한을 준다.

1. IAM Policy 생성

// IAM Policy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "test",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "*"
        }
    ]
}

2. IAM Role 구성

2-1. IAM Role 생성

IAM Role 생성

• Truested entity type : AWS Service
• Use case : Lambda
• 1에서 만든 policy 연결

2-2. 신뢰관계 편집

• AWS API Gateway도 해당 role을 assume 할 수 있도록 Principal의 Service에 apigateway.amazonaws.com을 추가.

// IAM Role > Trust relationships
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "lambda.amazonaws.com",
                    "apigateway.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

---

Lambda

1. Lambda 함수 생성

• 실행 역할 > 기존 역할 사용 > [IAM]에서 만든 역할 선택

Lambda 함수 생성

Lambda 함수 > 구성 > 권한

• 생성된 람다 함수의 구성 탭 > 권한에서 역할이 연결되었음을 확인할 수 있다.

2. 코드 작성

# 원하는 로직을 작성하시면 됩니다.
def lambda_handler(event, context):
    return {
        "response_type": "in_channel",
        "text": "Success~~~~~~~!"
    }

---

API Gateway

1. 신규 API 생성

AWS API Gateway > create API

• 엔드포인트 유형
  • Regional(지역) : 현재 region에 API가 배포된다.
  • Edge Optimized(엣지 최적화) : Cloudfront 네트워크에 API가 배포된다.
  • Private(프라이빗) : API Gateway를 위한 VPC 엔드포인트를 통해서만 접근이 가능하다.

2. 메소드 생성

AWS API Gateway >  API > Create Method

• slash command는 API Gateway Endpoint로 HTTP POST를 보내기 때문에 request type을 POST로 설정한다.
  • 원하는 경우, GET 요청으로 호출할 수도 있다.

AWS API Gateway > POST method 구성

• Integration : Lambda 함수
• Lambda Function : 위에서 생성한 람다 함수의 이름을 입력.

AWS API Gateway > Resource > Method > Lambda 함수와 Integration Request 구성

→ 람다 콘솔에 가서 확인해보자.

AWS Lambda > Configuration > Triggers

해당 함수에서 trigger 하는 서비스로 API Gateway가 추가됐음을 확인할 수 있다.

Configuration 탭 > (사이드바) Triggers에서도 확인할 수 있으며 1에서 생성한 API(hyeonju-api)가 트리거할 수 있는 서비스로 추가됐음을 의미한다.

AWS Lambda > Configuration > Permissions > Resource-based policy

또, 람다 함수의 Configuration 탭 > (사이드바) Permissions > Resource-based policy 섹션에서 정책이 추가됐음을 확인할 수 있다.

생성한 POST 메소드에 대해 해당 함수를 invoke 할 수 있는 권한을 부여했음을 의미한다. AWS 서비스 외에 다른 AWS Account에게도 함수를 invoke할 수 있는 권한을 부여할 수 있다.

3. Integration Request 설정

다시 API Gateway 콘솔로 돌아오자.

Integration Request에서는 백엔드의 메소드가 실행되는 타입(Lambda, HTTP, AWS service 또는 Mock)와 어떻게 요청 데이터가 메소드의 백엔드로 보내지기 전까지 변환되는지를 설정할 수 있다. 예를 들어, 람다 함수는 헤더나 쿼리 스트링 파라미터를 받지 못하지만, API Gateway를 이용하여 JSON으로 요청 값을 모두 포함할 수 있도록 설정할 수 있다.

AWS API Gateway > Method > Integration Reuest > Mapping Template (1)

• [Mapping Templates] 탭 선택 > [When there are no templates defined (recommended)] 선택 > [Add mapping template] 버튼 선택
• application/x-www-form-urlencoded 입력
  • slack slash command에서 POST 방식으로 request를 전송할 때 데이터의 Content-type 헤더는 application/x-www-form-urlencoded이다.
  • application/x-www-form-urlencoded는 서버에 전송되는 HTTP 메시지가 하나의 큰 쿼리 스트링이고 이름/값 쌍들이 "&"로 구분되어 있으며, 이름과 값은 "="으로 구분된다.

AWS API Gateway > Method > Integration Reuest > Mapping Template (2)

• Mapping Template을 이용하여 요청 데이터의 타입을 JSON으로 데이터 타입을 변환하고 Lambda의 event 파라미터로 넘겨주자.

## convert HTML POST data to JSON
 
## get the raw post data from the AWS built-in variable and give it a nicer name
#set($rawAPIData = $input.path('$'))

## first we get the number of "&" in the string, this tells us if there is more than one key value pair
#set($countAmpersands = $rawAPIData.length() - $rawAPIData.replace("&", "").length())
 
## if there are no "&" at all then we have only one key value pair.
## we append an ampersand to the string so that we can tokenise it the same way as multiple kv pairs.
## the "empty" kv pair to the right of the ampersand will be ignored anyway.
#if ($countAmpersands == 0)
 #set($rawPostData = $rawAPIData + "&")
#end
 
## now we tokenise using the ampersand(s)
#set($tokenisedAmpersand = $rawAPIData.split("&"))
 
## we set up a variable to hold the valid key value pairs
#set($tokenisedEquals = [])
 
## now we set up a loop to find the valid key value pairs, which must contain only one "="
#foreach( $kvPair in $tokenisedAmpersand )
 #set($countEquals = $kvPair.length() - $kvPair.replace("=", "").length())
 #if ($countEquals == 1)
  #set($kvTokenised = $kvPair.split("="))
  #if ($kvTokenised[0].length() > 0)
   ## we found a valid key value pair. add it to the list.
   #set($devNull = $tokenisedEquals.add($kvPair))
  #end
 #end
#end
 
## next we set up our loop inside the output structure "{" and "}"
{
#foreach( $kvPair in $tokenisedEquals )
  ## finally we output the JSON for this pair and append a comma if this isn't the last pair
  #set($kvTokenised = $kvPair.split("="))
 "$util.urlDecode($kvTokenised[0])" : #if($kvTokenised[1].length() > 0)"$util.urlDecode($kvTokenised[1])"#{else}""#end#if( $foreach.hasNext ),#end
#end
}

• 참고 사이트 : github gist

4. API 배포

AWS API Gateway > 메소드 선택 > Actions > Deploy API

• API는 스테이지에 배포된다. 스테이지는 API의 환경(dev, prod, beta)과 같다.

Deploy API > Stage 선택 (없는 경우 생성)

• Stage는 배포에 대한 히스토리를 저장하고 언제든 그 전 배포로 롤백할 수 있다.  추후에 쉽게 롤백할 수 있도록 각 배포에 대한 description을 작성하는 것이 좋다.

• API가 위 URL로 배포되었다. 해당 URL을 복사하자.

---

Slack Slash Command

1. 원하는 채널에 Slash Commands 앱 추가 

Slack 추가 > 원하는 명령어 입력

2. slash commands 설정

API GW Strage URL 입력 > 통합설정 저장

• 통합 설정 > URL에 배포한 stage의 URL을 입력한다.
• 위와 같은 설정대로라면, 해당 채널에서 /hyeonju를 입력 시 해당 URL로 request가 전송된다.

3. 테스트

Slack에서 테스트해보자!

테스트 성공~~! 😇

🚨 주의 🚨  slash command 뒤 반드시 텍스트를 작성해야 한다. ex) /hyeonju aaa 텍스트 작성 없이 /hyeonju만 입력 시 500 에러가 발생한다.

 

 

 

---

(선택) Cloudwatch로 API Gateway 모니터링하기

slack slash commands 구성 후, 아래와 같은 에러가 발생한다면 트러블슈팅 및 로깅을 위해 추가로 cloudwatch를 구성할 수 있다.

Slack Slash Commands 요청 실패

1. IAM Role 생성

API Gateway에 계정의 CloudWatch Log를 읽고 쓸 수 있는 권한을 부여한다.

AWS IAM > IAM role 생성

• Service : API Gateway

AWS IAM > IAM role 생성 > Add Permission

• AWS Managed Policy인 [AmazonAPIGatewayPushToCloudWatchLogs] 정책을 추가한다.
  이전 단계에서 서비스로 API Gateway 선택 시 자동으로 추가되어 있다.
• 이름 설정 후, 그대로 역할 생성.

AWS IAM > IAM 역할 생성 완료 > ARN 복사

• 생성된 역할의 ARN을 복사한다.

2. AWS API Gateway의 API IAM Role 설정

AWS API Gateway > API > Settings

• Settings의 CloudWatch log role ARN 입력창에 복사한 IAM Role ARN을 입력한다.

3. AWS CloudWatch 로그 그룹 생성

AWS Cloudwatch  > Log groups > Log group 생성

4. Stage에 대한 Logs/Tracing 설정 

AWS API Gateway > API > Stages > Stage 선택 > Logs/Tracing 탭

• Enable CloudWatch 활성화
  • Log full requests/responses data 활성화
• Enable Access Logging 활성화
  • List of Lost Variables를 참고하여 원하는 로깅 변수 선택하여 로그 포맷 구성

AWS CloudWatch > Log group > Log Stream 확인

• 에러 발생 시 Cloudwatch > Log group에서 위와 같이 로그를 확인할 수 있다.

 

 

---

 

🔗 참고 문서

1. Slack API Docs: Enabling interactivity with Slash Commands
2. Building a Slack Slash Command with C# + AWS Lambda + API Gateway
3. 기술 블로그: Slack Slash Command를 통해 집 근처 약국 마스크 수량 알아보기
4. AWS Docs: [AWS API Gateway] Cloudwatch 로깅에 대한 권한
5. AWS Docs: Amazon API Gateway에서 스테이지 변수를 사용하여 AWS Lambda 통합을 정의했습니다. API 메서드를 호출할 때 "내부 서버 오류"와 500 상태 코드가 표시되는 이유는 무엇입니까?