Berechtigungen zur Erstellung von Amazon Cognito-Benutzerpool-Genehmigern für eine REST-API abrufen
Um einen Genehmiger mit einem Amazon Cognito-Benutzerpool zu erstellen, müssen Sie über Allow
-Berechtigungen zur Erstellung eines Genehmigers oder zur Aktualisierung eines Genehmigers mit dem ausgewählten Amazon Cognito-Benutzerpool verfügen. Das folgende IAM-Richtliniendokument zeigt ein Beispiel solcher Berechtigungen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "apigateway:POST" ], "Resource": "arn:aws:apigateway:
*
::/restapis/*
/authorizers", "Condition": { "ArnLike": { "apigateway:CognitoUserPoolProviderArn": [ "arn:aws:cognito-idp:us-east-1
:123456789012
:userpool/us-east-1_aD06NQmjO
", "arn:aws:cognito-idp:us-east-1
:234567890123
:userpool/us-east-1_xJ1MQtPEN
" ] } } }, { "Effect": "Allow", "Action": [ "apigateway:PATCH" ], "Resource": "arn:aws:apigateway:*
::/restapis/*
/authorizers/*", "Condition": { "ArnLike": { "apigateway:CognitoUserPoolProviderArn": [ "arn:aws:cognito-idp:us-east-1
:123456789012
:userpool/us-east-1_aD06NQmjO
", "arn:aws:cognito-idp:us-east-1
:234567890123
:userpool/us-east-1_xJ1MQtPEN
" ] } } } ] }
Stellen Sie sicher, dass die Richtlinie einer IAM-Gruppe angefügt ist, der Sie angehören, oder einer IAM-Rolle, der Sie zugewiesen sind.
Im vorangegangenen Richtliniendokument wird die apigateway:POST
-Aktion für das Erstellen eines neuen Genehmigers und die apigateway:PATCH
-Aktion für das Aktualisieren eines vorhandenen Genehmigers verwendet. Sie können die Richtlinie auf eine bestimmte Region oder eine bestimmte API beschränken, indem Sie die ersten zwei Platzhalterzeichen (*) der Resource
-Werte entsprechend überschreiben.
Die hier verwendeten Condition
-Klauseln sollen die Allowed
-Berechtigungen für die angegebenen Benutzerpools einschränken. Wenn eine Condition
-Klausel vorhanden ist, wird der Zugriff auf alle Benutzerpools, die den Bedingungen nicht entsprechen, verweigert. Wenn eine Berechtigung über keine Condition
-Klausel verfügt, wird der Zugriff auf alle Benutzerpools erlaubt.
Sie verfügen über folgende Optionen, um die Condition
-Klausel festzulegen:
-
Sie können den bedingten Ausdruck
ArnLike
oderArnEquals
festlegen, um die Erstellung oder Aktualisierung vonCOGNITO_USER_POOLS
-Genehmigern nur mit den angegebenen Benutzerpools zu gestatten. -
Sie können den bedingten Ausdruck
ArnNotLike
oderArnNotEquals
festlegen, um die Erstellung oder Aktualisierung vonCOGNITO_USER_POOLS
-Genehmigern mit allen nicht im Ausdruck angegebenen Benutzerpools zu gestatten. -
Sie können die
Condition
-Klausel weglassen, um das Erstellen oder Aktualisieren vonCOGNITO_USER_POOLS
-Genehmigern mit allen Benutzerpools, von allen AWS-Konten und in jeder Region zu gestatten.
Weitere Informationen zu bedingten Amazon-Ressourcenname (ARN)-Ausdrücken finden Sie unter Bedingungsoperatoren für Amazon-Ressourcennamen (ARN). Wie im Beispiel gezeigt, ist apigateway:CognitoUserPoolProviderArn
eine Liste von ARNs der COGNITO_USER_POOLS
-Benutzerpools, die mit einem API Gateway-Genehmiger vom Typ COGNITO_USER_POOLS
verwendet werden können.