Sortie d'un mécanisme d'autorisation Lambda Amazon API Gateway - Amazon API Gateway

Sortie d'un mécanisme d'autorisation Lambda Amazon API Gateway

La sortie de la fonction du mécanisme d'autorisation Lambda est un objet de type dictionnaire, qui doit inclure l'identifiant principal (principalId) et un document de stratégie (policyDocument) contenant la liste des déclarations de stratégie. La sortie peut également inclure un mappage context contenant des paires clé-valeur. Si l'API applique un plan d'utilisation (apiKeySource est défini sur AUTHORIZER), la fonction du mécanisme d'autorisation Lambda doit renvoyer l'une des clés d'API du plan d'utilisation comme valeur de la propriété usageIdentifierKey.

Voici un exemple de sortie de ce type.

{   "principalId": "yyyyyyyy", // The principal user identification associated with the token sent by the client. "policyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "execute-api:Invoke", "Effect": "Allow|Deny", "Resource": "arn:aws:execute-api:{regionId}:{accountId}:{apiId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]]" } ] }, "context": { "stringKey": "value", "numberKey": "1", "booleanKey": "true" }, "usageIdentifierKey": "{api-key}" }

Dans cet exemple, une déclaration de stratégie indique s'il faut permettre ou interdire (Effect) au service d'exécution API Gateway d'appeler (Action) la méthode d'API spécifiée (Resource). Vous pouvez utiliser un caractère générique (*) pour spécifier un type de ressource (méthode). Pour plus d'informations sur le paramétrage des stratégies valides pour appeler une API, consultez Référence de déclaration de stratégie IAM pour l'exécution des API dans API Gateway.

Pour un ARN de méthode activé par autorisation, par exemple arn:aws:execute-api:{regionId}:{accountId}:{apiId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]], la longueur maximale est de 1 600 octets. Les valeurs de paramètre de chemin, dont la taille est déterminée au moment de l'exécution, peuvent entraîner un dépassement de limite de la longueur de l'ARN. Dans ce cas, le client API reçoit une réponse 414 Request URI too long.

De plus, l'ARN de ressources, comme indiqué dans la sortie de déclaration de stratégie par l'autorisateur, est actuellement limitée à 512 caractères. Pour cette raison, vous ne devez pas utiliser d'URI avec un jeton JWT d'une longueur significative dans une URI de demande. Vous pouvez plutôt transmettre le jeton JWT en toute sécurité dans un en-tête de demande.

Vous pouvez accéder à la valeur principalId d'un modèle de mappage à l'aide de la variable $context.authorizer.principalId. C'est utile si vous souhaitez transmettre la valeur au serveur principal. Pour de plus amples informations, veuillez consulter $context Variables des modèles de données, des mécanismes d'autorisation, des modèles de mappage et de la journalisation des accès de CloudWatch..

Vous pouvez accéder à la valeur stringKey, numberKey ou booleanKey (par exemple, "value", "1" ou "true") du mappage context d'un modèle de mappage en appelant $context.authorizer.stringKey, $context.authorizer.numberKey ou $context.authorizer.booleanKey, respectivement. Les valeurs renvoyées sont toutes obtenues à l'aide de stringify. Notez que vous ne pouvez pas définir un objet ou un tableau JSON comme valeur valide d'une clé dans le mappage context.

Vous pouvez utiliser le mappage context pour renvoyer les informations d'identification mises en cache depuis le mécanisme d'autorisation vers le backend, via un modèle de mappage de demande d'intégration. En exploitant les informations d'identification mises en cache, le backend offre une meilleure expérience utilisateur et évite ainsi d'accéder aux clés secrètes et d'ouvrir des jetons d'autorisation pour chaque demande.

Pour l'intégration du proxy Lambda, API Gateway transmet l'objet context depuis un mécanisme d'autorisation Lambda directement à la fonction Lambda du backend via l'entrée event. Vous pouvez récupérer les paires clé-valeur context de la fonction Lambda en appelant $event.requestContext.authorizer.key.

{api-key} représente une clé d'API dans le plan d'utilisation de l'étape d'API. Pour plus d'informations, consultez Création et utilisation de plans d'utilisation avec des clés d'API.

L'exemple de mécanisme d'autorisation Lambda renvoie l'exemple de sortie suivant. Cet exemple de sortie contient une déclaration de stratégie permettant de bloquer (Deny) les appels de la méthode GET d'une API (ymy8tbxw7b) d'un compte AWS (123456789012) à n'importe quelle étape (*).

{ "principalId": "user", "policyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "execute-api:Invoke", "Effect": "Deny", "Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/" } ] } }