API网关资源策略以防止删除

在API网关上设置资源策略以防止删除，可以通过以下步骤实现：

1. 首先，创建一个Lambda函数，用于拦截删除操作，并在其中添加逻辑来检查请求是否允许删除。下面是一个示例代码：

import boto3

def lambda_handler(event, context):
    # 获取请求信息
    request_type = event['RequestType']
    resource_id = event['PhysicalResourceId']
    # 如果请求类型是删除，则进行检查
    if request_type == 'Delete':
        # 检查资源是否允许删除
        if not can_delete(resource_id):
            # 如果资源不允许删除，则返回错误消息
            return {
                'Status': 'FAILED',
                'Reason': 'Resource cannot be deleted',
                'PhysicalResourceId': resource_id,
                'RequestId': event['RequestId']
            }
    # 如果请求类型是创建或更新，则返回成功消息
    return {
        'Status': 'SUCCESS',
        'PhysicalResourceId': resource_id,
        'RequestId': event['RequestId']
    }

def can_delete(resource_id):
    # 在这里添加逻辑来判断资源是否可以删除
    # 返回True表示允许删除，返回False表示不允许删除
    # 可以根据资源ID查询数据库或其他资源配置信息来判断是否允许删除
    return True

2. 在AWS管理控制台中创建一个自定义云观察事件规则（CloudWatch Events rule），以触发Lambda函数。设置事件规则的源为API网关的删除操作，并将Lambda函数作为目标。

3. 在API网关中，为资源添加策略，以防止删除。在资源的设置中，选择“资源策略”，然后添加防止删除的策略。以下是一个示例策略，它使用AWS的条件运算符（Condition Operators）来阻止删除操作：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "execute-api:DeleteResource",
      "Principal": "*",
      "Resource": "arn:aws:execute-api:<region>:<account-id>:<api-id>/<stage-name>/DELETE/*",
      "Condition": {
        "ArnNotEquals": {
          "AWS:SourceArn": "arn:aws:execute-api:<region>:<account-id>:<api-id>/*"
        }
      }
    }
  ]
}

请确保替换示例策略中的<region>、<account-id>和<api-id>等参数为实际值。

通过以上步骤，API网关将会在删除资源时触发Lambda函数进行检查，并根据策略来决定是否允许删除操作。如果资源不允许删除，则Lambda函数会返回错误消息，并阻止删除操作。