Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren - Amazon API Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren

Sie können jetzt auch einen Amazon Cognito-Benutzerpool von einem anderen AWS-Konto als API-Genehmiger verwenden. Jedes Konto kann sich in jeder Region befinden, in der Amazon API Gateway verfügbar ist. Der Amazon Cognito-Benutzerpool kann Bearer-Token-Authentifizierungsstrategien wie OAuth oder SAML verwenden. Dadurch ist es einfach, einen zentralen Genehmiger eines Amazon Cognito-Benutzerpools über mehrere API Gateway-APIs hinweg zentral zu verwalten und gemeinsam zu nutzen.

In diesem Abschnitt zeigen wir, wie ein kontenübergreifender Amazon Cognito-Benutzerpool mit Hilfe der Amazon API Gateway-Konsole konfiguriert wird.

Diese Anweisungen gehen davon aus, dass Sie bereits in einem AWS-Konto über eine API-Gateway-API und in einem anderen Konto über einen Amazon Cognito-Benutzerpool verfügen.

Kontoübergreifenden Amazon Cognito-Genehmiger mit der API Gateway-Konsole konfigurieren

Melden Sie sich in der Amazon-API-Gateway-Konsole bei dem Konto an, in dem Ihre API enthalten ist, und gehen Sie wie folgt vor:

  1. Erstellen Sie eine neue API oder wählen Sie eine vorhandene API in API Gateway aus.

  2. Wählen Sie im Hauptnavigationsbereich Genehmiger.

  3. Wählen Sie Genehmiger erstellen aus.

  4. Zur Konfiguration des neuen Genehmigers für die Verwendung eines Benutzerpools führen Sie die folgenden Schritte aus:

    1. Geben Sie unter Name des Genehmigers einen Namen ein.

    2. Wählen Sie als Genehmiger-Typ Cognito aus.

    3. Geben Sie den vollständigen ARN für den Benutzerpool in Ihrem zweiten Konto in das Feld Cognito-Benutzerpool ein.

      Anmerkung

      In der Amazon Cognito-Konsole finden Sie den ARN für eigene Benutzerpools im Feld Pool ARN des Bereichs General Settings (Allgemeine Einstellungen).

    4. Geben Sie für Token-Quelle als Header-Name Authorization ein, um das Identitäts- oder Zugriffstoken zu übergeben, das von Amazon Cognito bei erfolgreicher Anmeldung eines Benutzers zurückgegeben wird.

    5. Optional können Sie einen regulären Ausdruck im Feld Tokenvalidierung eingeben, um das aud-Feld (Zielgruppe) des Identitätstokens auszuwerten, bevor die Anfrage mit Amazon Cognito genehmigt wird. Beachten Sie, dass diese Validierung bei Verwendung eines Zugriffstoken die Anforderung zurückweist, da das Zugriffstoken das aud-Feld nicht enthält.

    6. Wählen Sie Genehmiger erstellen aus.