Steuern Sie den Zugriff anhand der Attribute einer Identität mit verifizierten Berechtigungen - APIAmazon-Gateway
Erstellen Sie einen Lambda-Autorisierer mit verifizierten BerechtigungenRufen Sie einen Lambda-Autorisierer mit verifizierten Berechtigungen auf

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Zugriff anhand der Attribute einer Identität mit verifizierten Berechtigungen

Verwenden Sie Amazon Verified Permissions, um den Zugriff auf Ihr API Gateway zu kontrollierenAPI. Wenn Sie API Gateway with Verified Permissions verwenden, erstellt Verified Permissions einen Lambda-Autorisierer, der anhand detaillierter Autorisierungsentscheidungen den Zugriff auf Ihre Berechtigungen steuert. API Verified Permissions autorisiert Anrufer auf der Grundlage eines Policy-Speicher-Schemas und von Richtlinien, die die Cedar-Richtliniensprache verwenden, um detaillierte Berechtigungen für Anwendungsbenutzer zu definieren. Weitere Informationen finden Sie unter Erstellen eines Policy-Stores mit einem verbundenen API Identitätsanbieter im Amazon Verified Permissions User Guide.

Verified Permissions unterstützt Amazon Cognito Cognito-Benutzerpools oder OpenID Connect (OIDC) -Identitätsanbieter als Identitätsquellen. Verified Permissions geht davon aus, dass der Principal zuvor identifiziert und authentifiziert wurde. Verified Permissions wird nur für Regional- und Edge-Optimized unterstützt. REST APIs

Erstellen Sie einen Lambda-Autorisierer mit verifizierten Berechtigungen

Verified Permissions erstellt einen Lambda-Autorisierer, um festzustellen, ob ein Principal eine Aktion an Ihrem ausführen darf. API Sie erstellen die Cedar-Richtlinie, die Verified Permissions zur Ausführung seiner Autorisierungsaufgaben verwendet.

Im Folgenden finden Sie ein Beispiel für eine Cedar-Richtlinie, die den Zugriff auf das Aufrufen eines auf Amazon Cognito API basierenden Benutzerpools us-east-1_ABC1234 für die developer Gruppe auf der GET /users Ressource eines ermöglicht. API Verified Permissions bestimmt die Gruppenmitgliedschaft, indem das Bearer-Token nach der Identität des Anrufers analysiert wird. 

permit(
  principal in MyAPI::UserGroup::"us-east-1_ABC1234|developer",
  action in [ MyAPI::Action::"get /users" ],
  resource
  );

Optional kann Verified Permissions den Autorisierer an Ihre Methoden anhängen. API In der Produktionsphase für Sie empfehlen wirAPI, dass Sie nicht zulassen, dass Verified Permissions den Autorisierer für Sie anhängt.

Die folgende Liste zeigt, wie Sie verifizierte Berechtigungen so konfigurieren, dass sie den Lambda-Autorisierer an die Methodenanforderung Ihrer API Methoden anhängen oder nicht.

Hängen Sie den Autorisierer für Sie an ()AWS Management Console

Wenn Sie in der Konsole „Verifizierte Berechtigungen“ die Option „Richtlinienspeicher erstellen“ wählen, wählen Sie auf der Integrationsseite „App bereitstellen“ die Option Jetzt aus.

Hängen Sie den Autorisierer nicht für Sie an ()AWS Management Console

Wenn Sie in der Konsole „Verifizierte Berechtigungen“ die Option „Richtlinienspeicher erstellen“ auswählen, wählen Sie auf der Seite „App-Integration bereitstellen“ die Option Später aus.

Verified Permissions erstellt weiterhin einen Lambda-Autorisierer für Sie. Der Lambda-Autorisierer beginnt mit. AVPAuthorizerLambda- Weitere Anweisungen zum Anhängen Ihres Autorisierers an eine Methode finden Sie unter. Konfigurieren Sie eine Methode zur Verwendung eines Lambda-Autorisierers (Konsole)

Hängen Sie den Autorisierer für Sie an ()AWS CloudFormation

Stellen Sie in der von Verified Permissions generierten AWS CloudFormation Vorlage im Conditions Abschnitt auf ein. "Ref": "shouldAttachAuthorizer" true

Hängen Sie den Autorisierer nicht für Sie an ()AWS CloudFormation

Stellen Sie in der von Verified Permissions generierten AWS CloudFormation Vorlage im Conditions Abschnitt auf ein. "Ref": "shouldAttachAuthorizer" false

Verified Permissions erstellt weiterhin einen Lambda-Autorisierer für Sie. Der Lambda-Autorisierer beginnt mit. AVPAuthorizerLambda- Weitere Anweisungen zum Anhängen Ihres Autorisierers an eine Methode finden Sie unter. Konfigurieren Sie eine Methode zur Verwendung eines Lambda-Autorisierers ()AWS CLI

Rufen Sie einen Lambda-Autorisierer mit verifizierten Berechtigungen auf

Sie können Ihren Lambda-Autorisierer aufrufen, indem Sie im Header ein Identitäts- oder Zugriffstoken angeben. Authorization Weitere Informationen finden Sie unter Rufen Sie eine API mit einem API Gateway Lambda-Autorisierer an.

APIGateway speichert die Richtlinie, die Ihr Lambda-Autorisierer zurückgibt, 120 Sekunden lang im Cache. Sie können das TTL in der API Gateway-Konsole oder mithilfe von ändern. AWS CLI