Natuurlijk! Hieronder vind je een voorbeeld van een Infrastructure as Code (IaC) script voor jouw AWS API Gateway, inclusief deployment, stages, integratie met Lambda, en beveiliging met IAM-rollen. Ik geef voorbeelden in zowel CloudFormation als Terraform, en enkele best practices voor onderhoud en versiebeheer. --- ## Voorbeeld in CloudFormation ```yaml AWSTemplateFormatVersion: '2010-09-09' Resources: # IAM Role voor API Gateway om Lambda aan te roepen ApiGatewayLambdaExecutionRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: apigateway.amazonaws.com Action: sts:AssumeRole Policies: - PolicyName: LambdaInvokePolicy PolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Action: - lambda:InvokeFunction Resource: arn:aws:lambda:REGIO:ACCOUNT_ID:function:MijnLambdaFunctie # API Gateway Rest API MijnAPI: Type: AWS::ApiGateway::RestApi Properties: Name: MijnAPI Description: REST API voor mijn project # Resource (pad) toevoegen (bijvoorbeeld /mijnpad) MijnAPIResource: Type: AWS::ApiGateway::Resource Properties: ParentId: !GetAtt MijnAPI.RootResourceId PathPart: mijnpad RestApiId: !Ref MijnAPI # Method (GET) met Lambda integratie MijnAPIMethod: Type: AWS::ApiGateway::Method Properties: RestApiId: !Ref MijnAPI ResourceId: !Ref MijnAPIResource HttpMethod: GET AuthorizationType: AWS_IAM AuthorizationScopes: [] ApiKeyRequired: false Integration: Type: AWS IntegrationHttpMethod: POST Uri: !Sub 'arn:aws:apigateway:${AWS::Region}:lambda:path/2015-03-31/functions/arn:aws:lambda:${AWS::Region}:${AWS::AccountId}:function:MijnLambdaFunctie/invocations' Credentials: !Ref ApiGatewayLambdaExecutionRole # Deployment MijnAPIDeployment: Type: AWS::ApiGateway::Deployment DependsOn: MijnAPIMethod Properties: RestApiId: !Ref MijnAPI StageName: dummy # Stage configuratie MijnAPIStage: Type: AWS::ApiGateway::Stage Properties: StageName: dev DeploymentId: !Ref MijnAPIDeployment RestApiId: !Ref MijnAPI Description: Development stage Variables: env: dev AccessLogSetting: DestinationArn: arn:aws:logs:REGIO:ACCOUNT_ID:log-group:API-Logs Format: '{"requestId":"$context.requestId","ip":"$context.identity.sourceIp","caller":"$context.identity.caller","user":"$context.identity.user","requestTime":"$context.requestTime","httpMethod":"$context.httpMethod","resourcePath":"$context.resourcePath","status":"$context.status","protocol":"$context.protocol"}' MethodSettings: - DataTraceEnabled: true LoggingLevel: INFO ResourcePath: '/*' HttpMethod: '*' # Voor prod stage, maak een aparte stage of update de bestaande ``` ### Best practices: - **Versiebeheer**: Bewaar je CloudFormation templates in een Git repository. - **Automatisering**: Gebruik CI/CD pipelines (bijv. CodePipeline, Jenkins) om deploys te automatiseren. - **Modulariteit**: Splits resources in aparte stacks of gebruik nested stacks voor herbruikbaarheid. - **Parameterisatie**: Gebruik Parameters en Mappings voor omgevingsafhankelijke waarden. --- ## Voorbeeld in Terraform ```hcl provider "aws" { region = "REGIO" } # IAM Role voor API Gateway om Lambda aan te roepen resource "aws_iam_role" "api_gateway_role" { name = "ApiGatewayLambdaExecutionRole" assume_role_policy = <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "apigateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } EOF } # IAM Policy voor Lambda invoke resource "aws_iam_policy" "lambda_invoke_policy" { name = "LambdaInvokePolicy" policy = <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:REGIO:ACCOUNT_ID:function:MijnLambdaFunctie" } ] } EOF } # Attach policy aan role resource "aws_iam_role_policy_attachment" "attach" { role = aws_iam_role.api_gateway_role.name policy_arn = aws_iam_policy.lambda_invoke_policy.arn } # API Gateway REST API resource "aws_api_gateway_rest_api" "mijn_api" { name = "MijnAPI" description = "REST API voor mijn project" } # Resource (/mijnpad) resource "aws_api_gateway_resource" "mijnpad" { rest_api_id = aws_api_gateway_rest_api.mijn_api.id parent_id = aws_api_gateway_rest_api.mijn_api.root_resource_id path_part = "mijnpad" } # Method GET resource "aws_api_gateway_method" "get_method" { rest_api_id = aws_api_gateway_rest_api.mijn_api.id resource_id = aws_api_gateway_resource.mijnpad.id http_method = "GET" authorization = "AWS_IAM" } # Lambda integratie resource "aws_api_gateway_integration" "lambda_integration" { rest_api_id = aws_api_gateway_rest_api.mijn_api.id resource_id = aws_api_gateway_resource.mijnpad.id http_method = aws_api_gateway_method.get_method.http_method integration_http_method = "POST" type = "AWS_PROXY" uri = "arn:aws:apigateway:${var.region}:lambda:path/2015-03-31/functions/arn:aws:lambda:${var.region}:${var.account_id}:function:MijnLambdaFunctie/invocations" credentials = aws_iam_role.api_gateway_role.arn } # Deployment resource "aws_api_gateway_deployment" "deployment" { depends_on = [aws_api_gateway_integration.lambda_integration] rest_api_id = aws_api_gateway_rest_api.mijn_api.id stage_name = "dummy" # staged later } # Stage configuratie resource "aws_api_gateway_stage" "dev" { stage_name = "dev" rest_api_id = aws_api_gateway_rest_api.mijn_api.id deployment_id = aws_api_gateway_deployment.deployment.id variables = { env = "dev" } access_log_settings { destination_arn = "arn:aws:logs:REGIO:ACCOUNT_ID:log-group:API-Logs" format = <<EOF { "requestId":"$context.requestId", "ip":"$context.identity.sourceIp", "caller":"$context.identity.caller", "user":"$context.identity.user", "requestTime":"$context.requestTime", "httpMethod":"$context.httpMethod", "resourcePath":"$context.resourcePath", "status":"$context.status", "protocol":"$context.protocol" } EOF } method_settings { resource_path = "/*" http_method = "*" logging_level = "INFO" data_trace_enabled = true } } # Voor prod stage resource "aws_api_gateway_stage" "prod" { stage_name = "prod" rest_api_id = aws_api_gateway_rest_api.mijn_api.id deployment_id = aws_api_gateway_deployment.deployment.id variables = { env = "prod" } # vergelijkbare log-instellingen als dev } ``` ### Best practices: - **Gebruik variables** voor regio, account ID, Lambda naam. - **Versiebeheer**: Plaats je Terraform code in een Git repository. - **State management**: Gebruik remote state storage (bijv. S3) om je infrastructuurstatus te beheren. - **Automatisering**: Automatiseer deployments via CI/CD pipelines. --- ## Algemene beste praktijken voor onderhoud en versiebeheer - **Gebruik versiebeheer (Git)** voor je IaC scripts. - **Automatiseer deployment** via CI/CD pipelines. - **Documenteer je configuraties** en veranderingen. - **Gebruik parametrisatie** voor omgevingsspecifieke waarden. - **Houd je templates klein en herbruikbaar**; maak gebruik van modules (Terraform) of nested stacks (CloudFormation). - **Test je infrastructuur** in een staging omgeving voordat je naar productie deployt. --- Heeft je nog verdere vragen of wil je een meer uitgewerkt voorbeeld?