AWS fetchにheadersをつけるとエラーになる

前提・実現したいこと

APIGatewayでCognitoAuthorizerを利用し、Lambdaを実行しています。
fetchによりデータを取得しているのですが、headerを指定するとCORSエラーになります。

解決策/原因ご教授いただきたいです。

発生している問題・エラーメッセージ

Access to fetch at 'https://xxxxxxx.execute-api.ap-northeast-1.amazonaws.com/Prod/get_project' from origin 'http://localhost:3001' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

該当のソースコード

Next.js
1export const getProjectAll = async () => {
2    const token = getToken();
3    const res = await fetch(process.env.API_SERVER + process.env.GET_PROJECT, {
4        method: "GET",
5        headers: {
6            "Authorization": token,
7        },
8    });
9    return await toJson(res);
10};

python
1import json
2
3def lambda_handler(event, context):
4    
5    ###データ取得
6
7    return {
8        "statusCode": 200,
9        "headers": {
10            "Content-Type": 'application/json',
11            "Access-Control-Allow-Headers": "Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers",
12            "Access-Control-Allow-Origin": "*",
13            "Access-Control-Allow-Methods": "OPTIONS,POST,GET",
14        },
15        "body": json.dumps(data, indent=4),
16    }
17

試したこと

POSTMANを利用しデータ取得
→　問題なし
POSTMANでHeader Authorizationを指定し取得
→　問題なし
APIGatewayのAuthorizerをなくし、Header指定なしで取得
→　問題なし

補足情報（FW/ツールのバージョンなど）

headerにAuthorization以外の物を指定してもエラーになる

行動規範の内容に同意します

回答1件

自己解決

下記記載のCloudFormationをCognitoAuthorizerに変更すると無事とおりました。
https://qiita.com/kter/items/c2732247db919a5fd51f

・OPTIONSメソッドにAuthorizerが適用されていた
・OPTIONSメソッドにレスポンスヘッダーが記載されていなかった
が原因かと思われます。

最終的なCloudFormationを記載しておきます。

    MyApi:
        Type: AWS::Serverless::Api
        Properties:
            StageName: Prod
            Cors:
                AllowMethods: "'GET,POST,OPTIONS,DELETE,PUT'"
                AllowHeaders: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers'"
                AllowOrigin: "'*'"
            GatewayResponses:
                DEFAULT_4XX:
                    ResponseParameters:
                        Headers:
                            Access-Control-Allow-Methods: "'GET,POST,OPTIONS,DELETE,PUT'"
                            Access-Control-Allow-Headers: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers'"
                            Access-Control-Allow-Origin: "'*'"
                DEFAULT_5XX:
                    ResponseParameters:
                        Headers:
                            Access-Control-Allow-Methods: "'GET,POST,OPTIONS,DELETE,PUT'"
                            Access-Control-Allow-Headers: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers'"
                            Access-Control-Allow-Origin: "'*'"
            Auth:
                AddDefaultAuthorizerToCorsPreflight: false
                DefaultAuthorizer: MyCognitoAuthorizer
                Authorizers:
                    MyCognitoAuthorizer:
                        UserPoolArn: "ユーザプールARN"

投稿2021/10/05 03:27

te_ff

総合スコア13