Configuration d'un mécanisme d'autorisation Amazon Cognito entre comptes pour une API REST à l'aide de la console API Gateway - Amazon API Gateway
Création d'un système d'autorisation Amazon Cognito multi-comptes pour une API REST

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'un mécanisme d'autorisation Amazon Cognito entre comptes pour une API REST à l'aide de la console API Gateway

Vous pouvez désormais également utiliser un groupe d'utilisateurs Amazon Cognito d'un autre AWS compte comme autorisateur d'API. Le groupe d'utilisateurs Amazon Cognito peut utiliser des stratégies d'authentification par jeton de porteur, par exemple OAuth ou SAML. Cela facilite la gestion centralisée et le partage d'un mécanisme d'autorisation d'un groupe d'utilisateurs Amazon Cognito central entre plusieurs API API Gateway.

Dans cette section, nous montrons comment configurer un groupe d'utilisateurs Amazon Cognito entre comptes à l'aide de la console Amazon API Gateway.

Ces instructions supposent que vous disposez déjà d'une API API Gateway sur un AWS compte et d'un groupe d'utilisateurs Amazon Cognito sur un autre compte.

Création d'un système d'autorisation Amazon Cognito multi-comptes pour une API REST

Connectez-vous à la console Amazon API Gateway dans le compte qui contient votre API, puis procédez comme suit :

  1. Créez une API ou sélectionnez une API existante dans API Gateway.

  2. Dans le panneau de navigation principal, choisissez Mécanismes d'autorisation.

  3. Choisissez Créer un mécanisme d'autorisation.

  4. Pour configurer le nouveau mécanisme d'autorisation afin d'utiliser un groupe d'utilisateurs, procédez comme suit :

    1. Pour Nom du mécanisme d’autorisation, entrez un nom.

    2. Pour Type de mécanisme d'autorisation, sélectionnez Cognito.

    3. Pour Groupe d'utilisateurs Cognito, entrez l'ARN complet du groupe d'utilisateurs que vous avez dans votre deuxième compte.

      Note

      Dans la console Amazon Cognito, vous pouvez trouver l'ARN de votre groupe d'utilisateurs dans le champ Pool ARN (ARN du groupe) du volet General Settings (Paramètres généraux).

    4. Pour Source du jeton, entrez Authorization comme nom d'en-tête pour transmettre le jeton d'identité ou le jeton d'accès renvoyé par Amazon Cognito lorsqu'un utilisateur se connecte avec succès.

    5. (Facultatif) Entrez une expression régulière dans le champ Validation du jeton pour valider le champ aud (public) du jeton d'identité avant que la demande soit autorisée avec Amazon Cognito.. Notez que lors de l'utilisation d'un jeton d'accès, cette validation rejette la demande en raison du jeton d'accès ne contenant pas le champ aud.

    6. Choisissez Créer un mécanisme d'autorisation.