Sortie d'un mécanisme d'autorisation Lambda Amazon API Gateway

La sortie de la fonction du mécanisme d'autorisation Lambda est un objet de type dictionnaire, qui doit inclure l'identifiant principal (principalId) et un document de stratégie (policyDocument) contenant la liste des déclarations de stratégie. La sortie peut également inclure un mappage context contenant des paires clé-valeur. Si l'API applique un plan d'utilisation (apiKeySource est défini sur AUTHORIZER), la fonction du mécanisme d'autorisation Lambda doit renvoyer l'une des clés d'API du plan d'utilisation comme valeur de la propriété usageIdentifierKey.

Voici un exemple de sortie de ce type.


{
  "principalId": "yyyyyyyy", // The principal user identification associated with the token sent by the client.
  "policyDocument": {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": "execute-api:Invoke",
        "Effect": "Allow|Deny",
        "Resource": "arn:aws:execute-api:{regionId}:{accountId}:{apiId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]]"
      }
    ]
  },
  "context": {
    "stringKey": "value",
    "numberKey": "1",
    "booleanKey": "true"
  },
  "usageIdentifierKey": "{api-key}"
}

Dans cet exemple, une déclaration de stratégie indique s'il faut permettre ou interdire (Effect) au service d'exécution API Gateway d'appeler (Action) la méthode d'API spécifiée (Resource). Vous pouvez utiliser un caractère générique (*) pour spécifier un type de ressource (méthode). Pour plus d'informations sur le paramétrage des stratégies valides pour appeler une API, consultez Référence de déclaration de stratégie IAM pour l'exécution des API dans API Gateway.

Pour un ARN de méthode activé par autorisation, par exemple arn:aws:execute-api:{regionId}:{accountId}:{apiId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]], la longueur maximale est de 1 600 octets. Les valeurs de paramètre de chemin, dont la taille est déterminée au moment de l'exécution, peuvent entraîner un dépassement de limite de la longueur de l'ARN. Dans ce cas, le client API reçoit une réponse 414 Request URI too long.

De plus, l'ARN de ressources, comme indiqué dans la sortie de déclaration de stratégie par l'autorisateur, est actuellement limitée à 512 caractères. Pour cette raison, vous ne devez pas utiliser d'URI avec un jeton JWT d'une longueur significative dans une URI de demande. Vous pouvez plutôt transmettre le jeton JWT en toute sécurité dans un en-tête de demande.

Vous pouvez accéder à la valeur principalId d'un modèle de mappage à l'aide de la variable $context.authorizer.principalId. C'est utile si vous souhaitez transmettre la valeur au backend. Pour de plus amples informations, veuillez consulter $contextVariables pour les modèles de données, les autorisateurs, les modèles de mappage et la journalisation des CloudWatch accès.

Vous pouvez accéder à la valeur stringKey, numberKey ou booleanKey (par exemple, "value", "1" ou "true") du mappage context d'un modèle de mappage en appelant $context.authorizer.stringKey, $context.authorizer.numberKey ou $context.authorizer.booleanKey, respectivement. Les valeurs renvoyées sont toutes obtenues à l'aide de stringify. Notez que vous ne pouvez pas définir un objet ou un tableau JSON comme valeur valide d'une clé dans le mappage context.

Vous pouvez utiliser le mappage context pour renvoyer les informations d'identification mises en cache depuis le mécanisme d'autorisation vers le backend, via un modèle de mappage de demande d'intégration. En exploitant les informations d'identification mises en cache, le backend offre une meilleure expérience utilisateur et évite ainsi d'accéder aux clés secrètes et d'ouvrir des jetons d'autorisation pour chaque demande.

Pour l'intégration du proxy Lambda, API Gateway transmet l'objet context depuis un mécanisme d'autorisation Lambda directement à la fonction Lambda du backend via l'entrée event. Vous pouvez récupérer les paires clé-valeur context de la fonction Lambda en appelant $event.requestContext.authorizer.key.

{api-key} représente une clé d'API dans le plan d'utilisation de l'étape d'API. Pour de plus amples informations, veuillez consulter Création et utilisation de plans d'utilisation avec des clés d'API.

L'exemple de mécanisme d'autorisation Lambda renvoie l'exemple de sortie suivant. L'exemple de sortie contient une déclaration de politique visant à bloquer (Deny) les appels à la GET méthode pour l'devétape d'une API (ymy8tbxw7b) d'un AWS compte (123456789012).


{
  "principalId": "user",
  "policyDocument": {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": "execute-api:Invoke",
        "Effect": "Deny",
        "Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/dev/GET/"
      }
    ]
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Données d'entrée d'un mécanisme d'autorisation Lambda

Appel d'une API avec des mécanismes d'autorisation Lambda