Berechtigungen zur Erstellung von Amazon Cognito-Benutzerpool-Genehmigern für eine REST-API abrufen - Amazon API Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen zur Erstellung von Amazon Cognito-Benutzerpool-Genehmigern für eine REST-API abrufen

Um einen Genehmiger mit einem Amazon Cognito-Benutzerpool zu erstellen, müssen Sie über Allow-Berechtigungen zur Erstellung eines Genehmigers oder zur Aktualisierung eines Genehmigers mit dem ausgewählten Amazon Cognito-Benutzerpool verfügen. Das folgende IAM-Richtliniendokument zeigt ein Beispiel solcher Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:POST"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers",
            "Condition": {
                "ArnLike": {
                    "apigateway:CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:PATCH"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers/*",
            "Condition": {
                "ArnLike": {
                    "apigateway:CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        }
    ]
}

Stellen Sie sicher, dass die Richtlinie einer IAM-Gruppe angefügt ist, der Sie angehören, oder einer IAM-Rolle, der Sie zugewiesen sind.

Im vorangegangenen Richtliniendokument wird die apigateway:POST-Aktion für das Erstellen eines neuen Genehmigers und die apigateway:PATCH-Aktion für das Aktualisieren eines vorhandenen Genehmigers verwendet. Sie können die Richtlinie auf eine bestimmte Region oder eine bestimmte API beschränken, indem Sie die ersten zwei Platzhalterzeichen (*) der Resource-Werte entsprechend überschreiben.

Die hier verwendeten Condition-Klauseln sollen die Allowed-Berechtigungen für die angegebenen Benutzerpools einschränken. Wenn eine Condition-Klausel vorhanden ist, wird der Zugriff auf alle Benutzerpools, die den Bedingungen nicht entsprechen, verweigert. Wenn eine Berechtigung über keine Condition-Klausel verfügt, wird der Zugriff auf alle Benutzerpools erlaubt.

Sie verfügen über folgende Optionen, um die Condition-Klausel festzulegen:

  • Sie können den bedingten Ausdruck ArnLike oder ArnEquals festlegen, um die Erstellung oder Aktualisierung von COGNITO_USER_POOLS-Genehmigern nur mit den angegebenen Benutzerpools zu gestatten.

  • Sie können den bedingten Ausdruck ArnNotLike oder ArnNotEquals festlegen, um die Erstellung oder Aktualisierung von COGNITO_USER_POOLS-Genehmigern mit allen nicht im Ausdruck angegebenen Benutzerpools zu gestatten.

  • Sie können die Condition-Klausel weglassen, um das Erstellen oder Aktualisieren von COGNITO_USER_POOLS-Genehmigern mit allen Benutzerpools, von allen AWS-Konten und in jeder Region zu gestatten.

Weitere Informationen zu bedingten Amazon-Ressourcenname (ARN)-Ausdrücken finden Sie unter Bedingungsoperatoren für Amazon-Ressourcennamen (ARN). Wie im Beispiel gezeigt, ist apigateway:CognitoUserPoolProviderArn eine Liste von ARNs der COGNITO_USER_POOLS-Benutzerpools, die mit einem API Gateway-Genehmiger vom Typ COGNITO_USER_POOLS verwendet werden können.