API Gateway コンソールを使用して REST API 用のクロスアカウントの Amazon Cognito オーソライザーを設定する - Amazon API Gateway

API Gateway コンソールを使用して REST API 用のクロスアカウントの Amazon Cognito オーソライザーを設定する

Amazon Cognito ユーザープールは、API オーソライザーとは異なる AWS アカウントからも使用できるようになりました。各アカウントは、Amazon API Gateway を利用できるリージョンであればどのリージョンでもかまいません。Amazon Cognito ユーザープールでは、OAuth や SAML などのベアラートークン認証戦略を使用できます。これにより、複数の API Gateway API 間で簡単に一元管理し、主要な Amazon Cognito ユーザープールオーソライザーを共有できるようになります。

このセクションでは、Amazon API Gateway コンソールを使用して、クロスアカウント Amazon Cognito ユーザープールを設定する方法について説明します。

これらの手順は、AWS アカウントに API Gateway API、別のアカウントに Amazon Cognito ユーザープールが設定されていることを前提としています。

API Gateway コンソールを使用してクロスアカウントの Amazon Cognito オーソライザーを設定する

最初のアカウント (API が設定されているアカウント) で Amazon API Gateway コンソールにサインインし、以下の操作を行います。

  1. API を指定し、[オーソライザー] を選択します。

  2. [新しいオーソライザーの作成] を選択します。

  3. [オーソライザーの作成] の [名前] 入力フィールドに、オーソライザー名を入力します。

  4. [Type] で、[Cognito] オプションを選択します。

  5. [Cognito ユーザープール] で、2 番目のアカウントで作成したユーザープールの完全な ARN をコピーアンドペーストします。

    注記

    Amazon Cognito コンソールでは、ユーザープールの ARN は、[全般設定] ペインの [プール ARN] フィールドにあります。

  6. [トークンソース] にヘッダーの名前を入力します。認証トークンを Amazon Cognito オーソライザーに送信するには、この名前のヘッダーが API クライアントに含まれている必要があります。

  7. オプションで、[トークン検証] 入力フィールドに RegEx ステートメントを指定します。API Gateway は、この式に対して、入力トークンの初期検証を実行し、認証が成功するとオーソライザーを呼び出します。これにより、無効なトークンの処理費用を減少できます。

  8. [作成] を選択して、API の新しい Amazon Cognito オーソライザーを作成します。