Generación de URLs firmadas con AWS Lambda y API Gateway

Clase 9 de 23 • Curso Avanzado de Serverless Framework en AWS

Contenido del curso

Bienvenida

Buenas prácticas en serverless

Serverless no es solo lambda

Lambda layers

Asegurando nuestra app serverless

Conectando ApiGateway con SQS

Bonus

Cierra del curso

23
Resumen del Curso Serverless en AWS
01:03 min

Tomar examen

Resumen

Subir imágenes de forma segura a un bucket de S3 sin exponer credenciales es una práctica esencial en arquitecturas serverless. Aquí se explica paso a paso cómo crear una Lambda que firma URLs, conectarla con API Gateway y configurar todo desde el archivo serverless.yml, incluyendo variables de ambiente, permisos IAM y validación de parámetros.

¿Cómo funciona la firma de URLs en S3?

El flujo es directo: una Lambda genera una URL firmada (signed URL) y se la entrega al cliente —un navegador u otra aplicación— para que este suba la imagen directamente al bucket de S3 sin pasar por el servidor. Esto reduce la carga en la infraestructura y mejora la seguridad.

El código de la Lambda importa el SDK de Amazon para crear un cliente de S3 [0:52]. Es importante notar que el SDK no se limita a DynamoDB; permite generar múltiples clientes para interactuar con distintos servicios del ecosistema AWS. Al instanciar el cliente, se especifica un signature version en versión cuatro [1:15], requisito indispensable para poder firmar URLs.

¿Qué parámetros necesita la URL firmada?

La función handler recibe el objeto event y extrae el parámetro filename desde queryStringParameters [1:40]. Este nombre de archivo es obligatorio porque S3 necesita saber con qué nombre se almacenará el objeto dentro del bucket.

La firma se genera con la función getSignedUrl del cliente de S3, donde se pasan tres parámetros clave [2:15]:

key: la ruta compuesta por la carpeta upload/ más el filename.
bucket: el nombre del bucket, obtenido desde una variable de ambiente.
expires: el tiempo de vida de la URL, fijado en 300 segundos.

El valor de putObject como primer argumento indica que la URL firmada servirá exclusivamente para almacenar objetos. Si alguien intenta usar la URL después de que expire, Amazon retorna un error 403, siguiendo las buenas prácticas de seguridad alineadas con el Well-Architected Framework [2:55].

¿Cómo configurar el serverless.yml para la Lambda?

Aquí reside lo más relevante del ejercicio. La configuración se aborda en tres bloques: variables de ambiente, definición de la función y permisos IAM.

¿Cómo se definen variables de ambiente en Serverless Framework?

Dentro del bloque provider se agrega el key environment [3:30]. Cada variable definida allí estará disponible en todas las Lambdas del proyecto. Para este caso se crea la variable BUCKET con el nombre exacto del bucket creado en la clase anterior.

yaml provider: environment: BUCKET: nombre-del-bucket

¿Cómo se define la función Lambda y su evento HTTP?

La nueva función se llama signed_url. El handler apunta al archivo signedUrl/handler.signedUrl y no requiere especificar runtime porque se hereda del provider [4:25]. El evento es de tipo HTTP con método GET y ruta signed_url.

Para validar que el cliente envíe el filename, se usa la sección request.parameters.querystrings con la bandera true [5:10]. Así, API Gateway rechaza la petición si falta el parámetro, sin necesidad de lógica adicional en la Lambda.

yaml functions: signedUrl: handler: signedUrl/handler.signedUrl package: include: - signedUrl/handler.js events: - http: path: signed_url method: GET request: parameters: querystrings: filename: true

¿Cómo otorgar permisos de S3 al rol de la Lambda?

En el bloque iamRoleStatements se agrega un nuevo permiso con efecto Allow, acción s3:* y como recurso el ARN del bucket [5:50]. El ARN se encuentra en la consola de S3, dentro de las propiedades del bucket. Se añade /* al final para cubrir todos los objetos.

En el curso se usa s3:* por practicidad, pero la recomendación es aplicar el principio de mínimo privilegio y otorgar solo los permisos necesarios, como s3:PutObject [6:30].

¿Cómo probar la URL firmada con Postman?

Tras ejecutar sls deploy, el endpoint GET aparece en la salida del despliegue [7:05]. Al enviar la petición sin parámetros, API Gateway responde indicando que falta un parámetro requerido [7:30]. Al agregar ?filename=imagen_ejemplo.png, la Lambda retorna una URL extensa que contiene información de seguridad, expiración y destino.

Para subir la imagen se copia esa URL en un nuevo request de tipo PUT en Postman, se selecciona el body como binary y se adjunta el archivo [8:10]. La respuesta 200 confirma que la imagen quedó almacenada. Al revisar el bucket en la consola de S3, la carpeta upload/ contiene el archivo con el nombre especificado [8:40].

¿Has implementado URLs firmadas en tus proyectos? Comparte tu experiencia y las variaciones que has aplicado en los comentarios.

Comentarios

Stiven Ramírez Arango

student•

Se perdió la claridad del video después del minuto 12:00.

Para los que tengan dudas de cómo subir el archivo después de haber generado la URL que firma el objeto de S3, pueden utilizar Postman usando el método PUT, pegar la URL firmada, seleccionar en el body la opción binary, adjuntar el archivo y ejecutar la petición. Si la respuesta es 200 significará que el archivo ya se encuentra en el bucket de S3, por lo que procedemos a checkear que efectivamente así sea.

Mauricio Garibello Rodriguez

student•

Gracias por el aporte, pero la idea es que actualicen el video, ya que lo que dice y muestra en pantalla no concuerda

Yor Jaggy Castaño Pino

teacher•

Hola a todos, gracias por los reportes con respecto a esta clase, estamos revisando el contenido y ajustandolo, pronto quedara actualizado nuevamente. Muchas gracias.

Mauricio Garibello Rodriguez

student•

Ya pasaron 22 dias a la fecha de este comentario y el video no ha sido actualizado sigue el mismo inconveniente, agradecemos que se actualice para las demas personas que tomen el curso

Yor Jaggy Castaño Pino

teacher•

mgaribellor gracias por el follow up con esta clase, andamos preparando mas sorpresas para proximos cursos y el easteregg, pero tienes razón, le doy prioridad a esto :muscle:

Kevin Fiorentino

student•

La clase se ve bien y completa (agosto 2025). Ya no tiene problemas, gracias por solucionarlo!

Jhonston Joan Lemus Cano

student•

En el minuto 12:00 , no se visualiza la prueba del signedURL en Postman :(

Yor Jaggy Castaño Pino

teacher•

Revisando :eyes:

Pedro Porras

student•

creo que el video quedo como corrido, lo que narra en el minuto 12:00 se muestra en el minuto 13:20

Andres Mora Vanegas

student•

tres meses y esperando que actualicen el video, se pierde un poco el foco de lo que se desea, sería importante que no se tardaran 3 meses o hasta más en ajustar un video

Rodolfo Ugalde Ochoa

student•

¿Como se puede hacer la restriccion del peso de la imagen para que no suban una imagen de 500BM?

Jose Gabriel Argüello

student•

Para el caso de serverless offine, se utiliza en S3 , SQS y o SNS? ya que el deploy en aws y probar cosas llevan tiempo si se hacen en la nube, muchas gracias

Juan Restrepo

teacher•

A medida que se usan mas servicios serverless se vuelve mas dificiles de emular de forma local, al final tu playground para probar termina siendo la misma nube, por eso para este curso no usamos el plugin de serverless offline, se queda corto

Jose Gabriel Argüello

student•

Juan muchas gracias por tu respuesta!, estoy "comiéndome" los cursos ya que me sirven para lo que estoy trabajando, se nota que tanto vos como Yaggi vienen de aplicar en el día a día estos conceptos, pero no por ello pierden pedagogía, y frescura ja ja. En mi caso a veces para probar algo termino testeando en local la lógica de la lambda ( usando arrays, objetos etc hardcodeados) con el code runner para evitar deployar con el tiempo que ello conlleva, si deployo es para verificar conexiones y creación de servicios. espero con ansias los comentarios de la clase practica mas adelante

Edgar A. Gonzalez Ambriz

student•

Con el reciente cambio en S3 me dice que no tengo permisos para crear la política de S3. ¿a alguien más le dio problema de permisos? Incluso si tomo el código del curso anterior, no me es posible desplegar mis lambdas

Yor Jaggy Castaño Pino

teacher•

Interesante Andoni, voy a revisar y te dejo aca lo que encuentre :eye

Yamili Mateo

student•

Del minuto 3:09 al 4:00 en el video 11 "Creando y desplegando una lambda layer" se muestra la parte que se desfasa en este video!

Bryan Castano

student•

Hola Chicos, aquellos despistados como Yo que copiaron la url generado paor POSTMAN tal cual y la pegaron en otra tab con el metodo put, les fallase, recuerden quitar las "https://..." porque esto causo problemas, y dure 10 minutos revisando my serverless.yml , S3 policies para ver donde estaba la restriccion pro el failed 403 Forbidden status code y el asunto era quitar las "" o mejor dar click directamente en postman que ahora es mas friendly y el mismo te lleva a otro tab, el rsto funciono bien , esto fue mi provider s3 IAM permissions para el rfol de la funcion lambda que gestiona el Bucket s3,

 - Effect: Allow
          Action:
            - s3:GetObject
            - s3:PutObject
          Resource:
            - !Join ['', ['arn:aws:s3:::', !Ref S3Bucket, '/*']]
          #arn:aws:s3:::serverless-crud-007

La clase fue buen y ya esta pulida, los profesores explican bien y todo.

Julio Enrique Gutiérrez Orozco

student•

Me gustaría saber sobre AWS SAM. ¿Tienen algún curso sobre ello?

Juan Restrepo

teacher•

Hola, no, de momento no hay curso de AWS SAM, es el competidor directo de serverless framework para AWS :thin

Mario Alexander Vargas Celis

student•

Claro, vamos a cubrir cómo firmar URLs (presigned URLs) y subir objetos a Amazon S3 usando AWS SDK. ¿Te interesa hacerlo desde Python, Node.js, o algún otro lenguaje?

Aquí te muestro cómo hacerlo en Python (boto3), que es bastante común.

🔐 Firmar una URL para subir un archivo a S3 (Presigned URL)

Esto te permite darle a un cliente (como un navegador o una app) una URL temporal para subir un archivo directamente a S3 sin pasar por tu servidor.

import boto3 from botocore.exceptions import NoCredentialsError import datetime

s3_client = boto3.client('s3')

def generar_presigned_url(bucket, key, expiration=3600): try: url = s3_client.generate_presigned_url( 'put_object', Params={'Bucket': bucket, 'Key': key}, ExpiresIn=expiration ) return url except NoCredentialsError: print("Credenciales no configuradas") return None

# Uso bucket_name = 'tu-bucket' file_key = 'carpeta/nombre_del_archivo.txt' url = generar_presigned_url(bucket_name, file_key) print("URL para subir archivo:", url)

📤 Subir un archivo directamente desde Python a S3

def subir_a_s3(bucket, key, file_path): try: s3_client.upload_file(file_path, bucket, key) print("Archivo subido correctamente.") except Exception as e: print("Error al subir:", e)

# Uso subir_a_s3('tu-bucket', 'carpeta/archivo.txt', '/ruta/local/archivo.txt')

🧪 Bonus: Subida desde navegador usando la URL firmada (HTML/JS)

<input type="file" id="fileInput"> <script> document.getElementById('fileInput').addEventListener('change', async function() { const file = this.files[0]; const presignedUrl = "https://s3.amazonaws.com/tu-bucket/carpeta/archivo.txt?..."; // generado por tu backend

await fetch(presignedUrl, { method: "PUT", body: file }).then(response => { if (response.ok) { alert("Archivo subido con éxito"); } else { alert("Error al subir"); } }); }); </script>

Lucho Rodriguez

student•

Mi solución para aplicar el principio del mínimo privilegio usando el plugin

provider:
  name: aws
  ...
  iam:
    role:
      # default permissions
      statements:
        - Effect: Allow
          Action: 
            - dynamodb:Query
            - dynamodb:putItem
            - dynamodb:updateItem
            - dynamodb:deleteItem
          Resource: !GetAtt usersTable.Arn
...
get-signed-url:
    ...
    # override permissions
    iamRoleStatements:
      - Effect: Allow
        Action: s3:putObject
        Resource: !Join 
          - "/"
          - - !GetAtt s3Bucket.Arn
            - "*"
    environment:
      BUCKET: !Ref s3Bucket
    package:
      patterns:
        ...
    events:
      - http:
          path: signed-url
          method: GET
          request:
            parameters:
              querystrings:
                filename: true

Harry Alvarado

student•

Después del minuto 14:20 cuando habla de AWS, creo que no mostraba la pantalla donde esta AWS, para ver la carpeta donde se había subido la imagen. Revisar! :-)

Alex Henrry Naupay Ferrer

student•

  environment:
    BUCKET_NAME: !Ref MyS3Bucket

Alex Henrry Naupay Ferrer

student•

  environment:
    BUCKET_NAME: ${MyS3Bucket}

Evert Ortiz

student•

5 meses que se reportó el problema con esta clase, y veo que se mantiene igual al día de hoy. Pero nada, se resuelve de una u otra forma.

Generación de URLs firmadas con AWS Lambda y API Gateway

Bienvenida

Creación de Aplicaciones Serverless Avanzadas en AWS

Mejorando Proyectos Serverless con Buenas Prácticas y Funcionalidades

Buenas prácticas en serverless

Integración de Servicios AWS en Proyectos Serverless Avanzados

Buenas Prácticas con Serverless Framework en AWS

Serverless no es solo lambda

Validación de Lógica de Negocio con API Gateway y JSON Schema

Integración de Servicios AWS en Arquitecturas Serverless

Subida Segura de Archivos a S3 usando URLs Firmadas

Creación y Configuración de Buckets S3 con CloudFormation