Controlar o acesso a uma API REST usando um grupo de usuários do Amazon Cognito como autorizador - Amazon API Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso a uma API REST usando um grupo de usuários do Amazon Cognito como autorizador

Em vez de usar funções e políticas do IAM ou autorizadores do Lambda (anteriormente conhecidos como autorizadores personalizados), você pode usar um grupo de usuários do Amazon Cognito para controlar quem pode acessar sua API no Amazon API Gateway.

Para usar um grupo de usuários do Amazon Cognito com sua API, primeiro é necessário criar um autorizador do tipo COGNITO_USER_POOLS e depois configurar um método da API para usar esse autorizador. Após a implantação da API, o cliente deve primeiro inserir o usuário no grupo de usuários, obter uma identidade ou token de acesso para o usuário e, então, chamar o método de API com um dos tokens, que são normalmente definidos para o cabeçalho Authorization da solicitação. A chamada de API é realizada somente se o token necessário é fornecido e válido; caso contrário, o cliente não está autorizado a fazer a chamada, pois o cliente não tem credenciais que poderiam ser autorizadas.

O token de identidade é usado para autorizar chamadas de API com base nas declarações de identidade do usuário conectado. O token de acesso é usado para autorizar chamadas de API com base nos escopos personalizados de recursos protegidos por acesso especificado. Para obter mais informações, consulte Uso de tokens com grupos de usuários e Servidor de recursos e escopos personalizados.

Para criar e configurar um grupo de usuários do Amazon Cognito para sua API, realize as seguintes tarefas:

  • Use o console, a CLI/SDK ou a API do Amazon Cognito para criar um grupo de usuários ou use um pertencente a outra conta da AWS.

  • Use o console, a CLI/SDK ou a API do API Gateway para criar um autorizador do API Gateway com o grupo de usuários escolhido.

  • Use o console, a CLI/SDK ou a API do API Gateway para habilitar o autorizador em métodos de API selecionados.

Para chamar quaisquer métodos de API com um grupo de usuários ativado, os clientes da API realizam as seguintes tarefas:

  • Use a CLI/SDK ou a API do Amazon Cognito para conectar um usuário ao grupo de usuários escolhido e obter um token de identidade ou de acesso. Para saber mais sobre o uso dos SDKs, consulte Exemplos de código do Amazon Cognito usando AWS SDKs.

  • Use um framework específico do cliente para chamar a API do API Gateway e fornecer o token apropriado no cabeçalho Authorization.

Como um desenvolvedor de API, você deve fornecer aos desenvolvedores de clientes o ID do grupo de usuários, um ID de cliente e, possivelmente, os segredos de cliente associado, que são definidos como parte do grupo de usuários.

nota

Para permitir que um usuário faça login usando as credenciais do Amazon Cognito e também obtenha credenciais temporárias para usar com as permissões de uma função do IAM, use as identidades federadas do Amazon Cognito. Para cada método HTTP do endpoint de recurso de API, defina o tipo de autorização, categoria Method Execution, como AWS_IAM.

Nesta seção, descrevemos como criar um grupo de usuários, integrar uma API do API Gateway a esse grupo de usuários e invocar essa API integrada a ele.

Tópicos