使用 API Gateway 主控台為 REST API 設定跨帳戶的 Amazon Cognito 授權方

您現在也可以使用來自不同 AWS 帳戶的 Amazon Cognito 使用者集區做為 API 授權者。Amazon Cognito 使用者集區可以使用承載字符身分驗證政策，例如 OAuth 或 SAML。這可讓您輕鬆集中管理並跨多個 API Gateway API 共用一個中央 Amazon Cognito 使用者集區授權方。

在本節中，我們示範如何使用 Amazon API Gateway 主控台設定跨帳戶的 Amazon Cognito 使用者集區。

這些說明假設您在一個帳戶中已有 API Gateway API，另一個 AWS 帳戶中已有 Amazon Cognito 使用者集區。

為 REST API 創建跨帳戶 Amazon Cognito 授權者

在您 API 所在的帳戶中，登入 Amazon API Gateway 主控台，然後執行下列操作：

1. 在 API Gateway 中建立新的 API 或選取現有的 API。

2. 在主導覽窗格中，選擇授權方。

3. 選擇建立授權方。

4. 若要設定新的授權方使用使用者集區，請執行下列操作：

   1. 針對授權方名稱，輸入名稱。

   2. 針對授權方類型，選取 Cognito。

   3. 針對 Cognito 使用者集區，輸入您在第二個帳戶中擁有之使用者集區的完整 ARN。

      注意

      在 Amazon Cognito 主控台中，您可以在 General Settings (一般設定) 窗格的 Pool ARN (集區 ARN) 欄位中找到適用於您使用者集區的 ARN。

   4. 針對權杖來源，輸入 Authorization 作為標頭名稱，以在使用者成功登入時，傳遞 Amazon Cognito 傳回的身分或存取權杖。

   5. (選用) 在權杖驗證欄位中輸入規則表達式，以驗證身分權杖的 aud (對象) 欄位，再透過 Amazon Cognito 授權請求。請注意，當使用存取字符時，由於存取字符不包含該 aud 字段，所以此驗證拒絕該請求。

   6. 選擇建立授權方。