As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controlar o acesso a uma API REST usando um grupo de usuários do Amazon Cognito como autorizador
Em vez de usar funções e políticas do IAM ou autorizadores do Lambda (anteriormente conhecidos como autorizadores personalizados), você pode usar um grupo de usuários do Amazon Cognito para controlar quem pode acessar sua API no Amazon API Gateway.
Para usar um grupo de usuários do Amazon Cognito com sua API, primeiro é necessário criar um autorizador do tipo COGNITO_USER_POOLS
e depois configurar um método da API para usar esse autorizador. Após a implantação da API, o cliente deve primeiro inserir o usuário no grupo de usuários, obter uma identidade ou token de acesso para o usuário e, então, chamar o método de API com um dos tokens, que são normalmente definidos para o cabeçalho Authorization
da solicitação. A chamada de API é realizada somente se o token necessário é fornecido e válido; caso contrário, o cliente não está autorizado a fazer a chamada, pois o cliente não tem credenciais que poderiam ser autorizadas.
O token de identidade é usado para autorizar chamadas de API com base nas declarações de identidade do usuário conectado. O token de acesso é usado para autorizar chamadas de API com base nos escopos personalizados de recursos protegidos por acesso especificado. Para obter mais informações, consulte Uso de tokens com grupos de usuários e Servidor de recursos e escopos personalizados.
Para criar e configurar um grupo de usuários do Amazon Cognito para sua API, realize as seguintes tarefas:
-
Use o console, a CLI/SDK ou a API do Amazon Cognito para criar um grupo de usuários ou use um pertencente a outra conta da AWS.
-
Use o console, a CLI/SDK ou a API do API Gateway para criar um autorizador do API Gateway com o grupo de usuários escolhido.
-
Use o console, a CLI/SDK ou a API do API Gateway para habilitar o autorizador em métodos de API selecionados.
Para chamar quaisquer métodos de API com um grupo de usuários ativado, os clientes da API realizam as seguintes tarefas:
-
Use a CLI/SDK
ou a API do Amazon Cognito para conectar um usuário ao grupo de usuários escolhido e obter um token de identidade ou de acesso. Para saber mais sobre o uso dos SDKs, consulte Exemplos de código do Amazon Cognito usando AWS SDKs. -
Use um framework específico do cliente para chamar a API do API Gateway e fornecer o token apropriado no cabeçalho
Authorization
.
Como um desenvolvedor de API, você deve fornecer aos desenvolvedores de clientes o ID do grupo de usuários, um ID de cliente e, possivelmente, os segredos de cliente associado, que são definidos como parte do grupo de usuários.
nota
Para permitir que um usuário faça login usando as credenciais do Amazon Cognito e também obtenha credenciais temporárias para usar com as permissões de uma função do IAM, use as identidades federadas do Amazon Cognito. Para cada método HTTP do endpoint de recurso de API, defina o tipo de autorização, categoria Method Execution
, como AWS_IAM
.
Nesta seção, descrevemos como criar um grupo de usuários, integrar uma API do API Gateway a esse grupo de usuários e invocar essa API integrada a ele.
Tópicos
- Obter permissões para criar autorizadores de grupo de usuários do Amazon Cognito para uma API REST
- Criar um grupo de usuários do Amazon Cognito para uma API REST
- Integre uma API REST com um grupo de usuários do Amazon Cognito
- Chamar uma API REST integrada a um grupo de usuários do Amazon Cognito
- Configurar o autorizador do Amazon Cognito entre contas para uma API REST usando o console do API Gateway
- Criar um autorizador do Amazon Cognito para uma API REST usando o AWS CloudFormation