Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren
Sie können jetzt auch einen Amazon Cognito-Benutzerpool von einem anderen AWS-Konto als API-Genehmiger verwenden. Jedes Konto kann sich in jeder Region befinden, in der Amazon API Gateway verfügbar ist. Der Amazon Cognito-Benutzerpool kann Bearer-Token-Authentifizierungsstrategien wie OAuth oder SAML verwenden. Dadurch ist es einfach, einen zentralen Genehmiger eines Amazon Cognito-Benutzerpools über mehrere API Gateway-APIs hinweg zentral zu verwalten und gemeinsam zu nutzen.
In diesem Abschnitt zeigen wir, wie ein kontenübergreifender Amazon Cognito-Benutzerpool mit Hilfe der Amazon API Gateway-Konsole konfiguriert wird.
Diese Anweisungen gehen davon aus, dass Sie bereits in einem AWS-Konto über eine API-Gateway-API und in einem anderen Konto über einen Amazon Cognito-Benutzerpool verfügen.
Kontoübergreifenden Amazon Cognito-Genehmiger mit der API Gateway-Konsole konfigurieren
Melden Sie sich bei der Amazon API Gateway-Konsole in Ihrem ersten Konto an (demjenigen, in dem Ihre API vorhanden ist) und gehen Sie wie folgt vor:
-
Navigieren Sie zu Ihrer API und wählen Sie Autorisierer (Genehmiger) aus.
-
Wählen Sie Create New Authorizer.
-
Geben Sie für Create Authorizer einen Genehmigernamen in das Eingabefeld Name ein.
-
Wählen Sie als Typ die Option Cognito.
-
Kopieren Sie den vollständigen ARN für den Benutzerpool in Ihrem zweiten Konto in das FeldCognito User Pool (Cognito-Benutzerpool)
Anmerkung In der Amazon Cognito-Konsole finden Sie den ARN für eigene Benutzerpools im Feld Pool ARN des Bereichs General Settings (Allgemeine Einstellungen).
-
Geben Sie den Namen eines Headers in Token Source ein. Der API-Client muss einen Header mit diesem Namen enthalten, um das Autorisierungs-Token an den Amazon Cognito-Genehmiger zu senden.
-
Geben Sie optional eine RegEx-Anweisung im Eingabefeld Token Validation (Tokenvalidierung) ein. API Gateway führt eine erste Überprüfung des eingegebenen Token für diesen Ausdruck an und ruft nach der erfolgreichen Validierung den Genehmiger auf. Dies trägt dazu bei, dass die Wahrscheinlichkeit von Gebühren für ungültige Token reduziert werden.
-
Wählen Sie Create (Erstellen), um den neuen Amazon Cognito-Genehmiger für Ihre API zu erstellen.