API Gateway 콘솔을 사용하여 REST API를 위한 교차 계정 Amazon Cognito 권한 부여자 구성

이제 다른 AWS 계정의 Amazon Cognito 사용자 풀도 API 권한 부여자로 사용할 수 있습니다. Amazon Cognito 사용자 풀은 OAuth 또는 SAML 같은 보유자 토큰 인증 전략을 사용할 수 있습니다. 따라서 여러 API Gateway API에 대해 Amazon Cognito 사용자 풀 권한 부여자를 중앙에서 손쉽게 관리 및 공유할 수 있습니다.

이 단원에서는 Amazon API Gateway 콘솔을 사용하여 교차 계정 Amazon Cognito 사용자 풀을 구성하는 방법을 보여줍니다.

이 지침에서는 한 AWS 계정에서 API Gateway API를, 다른 계정에서는 Amazon Cognito 사용자 풀을 이미 생성했다고 가정합니다.

REST API를 위한 교차 계정 Amazon Cognito 권한 부여자 생성

API를 포함하고 있는 계정에서 Amazon API Gateway 콘솔에 로그인하고 다음을 수행합니다.

1. API Gateway에서 새 API를 생성하거나 기존 API를 선택합니다.

2. 기본 탐색 창에서 권한 부여자를 선택합니다.

3. 권한 부여자 생성을 선택합니다.

4. 사용자 풀을 사용하도록 새 권한 부여자를 구성하려면 다음을 수행합니다.

   1. 권한 부여자 이름에 이름을 입력합니다.

   2. 권한 부여자 유형으로 Cognito를 선택합니다.

   3. Cognito 사용자 풀에서는 두 번째 계정에 있는 사용자 풀의 전체 ARN을 입력합니다.

      참고

      Amazon Cognito 콘솔에서 일반 설정 창의 풀 ARN 필드에서 사용자 풀의 ARN을 찾을 수 있습니다.

   4. 토큰 소스에 헤더 이름으로 Authorization을 입력하여 사용자가 성공적으로 로그인할 때 Amazon Cognito에서 반환하는 자격 증명 또는 액세스 토큰을 전달합니다.

   5. (선택 사항) 토큰 검증 필드에 정규식을 입력하여 Amazon Cognito를 통해 요청에 대한 권한이 부여되기 전에 자격 증명 토큰의 aud(대상) 필드를 검증합니다. 액세스 토큰을 사용할 경우, 액세스 토큰에 aud 필드가 포함되지 않으므로 이 유효성 검사는 요청을 거부합니다.

   6. 권한 부여자 생성을 선택합니다.