Ottenimento delle autorizzazioni per creare le autorizzazioni per il pool di utenti di Amazon Cognito per un'API REST - Amazon API Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ottenimento delle autorizzazioni per creare le autorizzazioni per il pool di utenti di Amazon Cognito per un'API REST

Per creare un'autorizzazione con un pool di utenti di Amazon Cognito, devi disporre di autorizzazioni Allow per creare o aggiornare un'autorizzazione con il pool di utenti di Amazon Cognito scelto. Il documento di policy IAM seguente mostra un esempio di queste autorizzazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:POST"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers",
            "Condition": {
                "ArnLike": {
                    "apigateway:CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:PATCH"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers/*",
            "Condition": {
                "ArnLike": {
                    "apigateway:CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        }
    ]
}

Assicurarsi che la policy sia collegata a un gruppo IAM cui l'utente appartiene o a un ruolo IAM assegnato.

Nel documento di policy precedente l'operazione apigateway:POST è per la creazione di nuove autorizzazioni, mentre l'operazione apigateway:PATCH è per l'aggiornamento di autorizzazioni esistenti. Puoi limitare la policy a una regione specifica o a una determinata API sostituendo, rispettivamente, i primi due caratteri jolly (*) dei valori di Resource.

Le clausole Condition usate qui sono per limitare le autorizzazioni Allowed ai pool di utenti specificati. Quando è presente una clausola Condition, l'accesso a uno dei pool di utenti che non corrispondono alle condizioni viene negato. Quando un'autorizzazione non include una clausola Condition è permesso l'accesso a qualsiasi pool di utenti.

Per impostare la clausola Condition, sono disponibili le opzioni seguenti:

  • Puoi impostare un'espressione condizionale ArnLike o ArnEquals per permettere la creazione o l'aggiornamento di autorizzazioni COGNITO_USER_POOLS solo con i pool di utenti specificati.

  • Puoi impostare un'espressione condizionale ArnNotLike o ArnNotEquals per permettere la creazione o l'aggiornamento di autorizzazioni COGNITO_USER_POOLS con qualsiasi pool di utenti non specificato nell'espressione.

  • Puoi omettere la clausola Condition per permettere la creazione o l'aggiornamento di autorizzazioni COGNITO_USER_POOLS con qualsiasi pool di utenti di qualsiasi account AWS e in qualsiasi regione.

Per ulteriori informazioni sulle espressioni condizionali per gli Amazon Resource Name (ARN), consulta la pagina Amazon relativa agli operatori di condizione per i nomi di risorsa. Come mostrato nell'esempio, apigateway:CognitoUserPoolProviderArn è un elenco di ARN dei pool di utenti COGNITO_USER_POOLS che possono o non possono essere usati con autorizzazioni API Gateway di tipo COGNITO_USER_POOLS.