Configuración de un autorizador de Amazon Cognito entre cuentas para una API REST mediante la consola de API Gateway - Amazon API Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un autorizador de Amazon Cognito entre cuentas para una API REST mediante la consola de API Gateway

Ahora también se puede utilizar un grupo de usuarios de Amazon Cognito de otra cuenta de AWS como autorizador de API. Cada cuenta puede estar en cualquier región en la que Amazon API Gateway esté disponible. El grupo de usuarios de Amazon Cognito puede utilizar estrategias de autenticación de token al portador como OAuth o SAML. Esto permite administrar y compartir fácilmente de forma centralizada un autorizador de grupo de usuarios de Amazon Cognito en distintas API de API Gateway.

En esta sección, mostramos cómo configurar un grupo de usuarios de Amazon Cognito entre cuentas mediante la consola de Amazon API Gateway.

En estas instrucciones, se presupone que ya dispone de una API de API Gateway en una cuenta de AWS y de un grupo de usuarios de Amazon Cognito en otra cuenta.

Configuración de un autorizador de Amazon Cognito entre cuentas mediante la consola de API Gateway

Inicie sesión en la consola de Amazon API Gateway en la cuenta que tiene la API y, a continuación, haga lo siguiente:

  1. Cree una nueva API o seleccione una existente en API Gateway.

  2. En el panel de navegación principal, elija Autorizadores.

  3. Elija Crear autorizador.

  4. Si desea configurar el nuevo autorizador para que utilice un grupo de usuarios, realice lo siguiente:

    1. En Nombre del autorizador, ingrese un nombre.

    2. En Tipo de autorizador, seleccione Cognito.

    3. En Grupo de usuarios de Cognito, ingrese el ARN completo del grupo de usuarios que tiene en la segunda cuenta.

      nota

      En la consola de Amazon Cognito, puede encontrar el ARN de su grupo de usuarios en el campo Pool ARN (ARN de grupo) del panel General Settings (Configuración general).

    4. En Origen del token, escriba Authorization como nombre del encabezado al que se va a pasar el token de identidad o acceso devuelto por Amazon Cognito cuando el usuario inicie sesión correctamente.

    5. (Opcional) Ingrese una expresión regular en el campo Validación de token para validar el campo aud (audiencia) del token de identidad antes de autorizar la solicitud con Amazon Cognito. Tenga en cuenta que cuando se utiliza un token de acceso, esta validación rechaza la solicitud debido al token de acceso que no contiene el campo aud.

    6. Elija Crear autorizador.