本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
WebSocket API 及 REST API 具備類似的 IAM 授權,除了以下例外:
-
除了現有動作 (
execute-api、ManageConnections),Invoke動作也支援InvalidateCache。ManageConnections會控制 @connections API 的存取。 -
WebSocket 路由使用不同的 ARN 格式:
arn:aws:execute-api:region:account-id:api-id/stage-name/route-key -
@connectionsAPI 使用的 ARN 格式與 REST API 相同:arn:aws:execute-api:region:account-id:api-id/stage-name/POST/@connections
重要
使用 IAM 授權時,您必須使用第 4 版簽署程序 (SigV4) 來簽署請求。
例如,您可針對用戶端設定下列政策。除了 Invoke 階段內的秘密路由,此範例允許所有人針對所有路由傳送訊息 (prod),並防止所有人在任何階段回傳訊息給已連線的用戶端 (ManageConnections)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-east-1:account-id:api-id/prod/*" ] }, { "Effect": "Deny", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-east-1:account-id:api-id/prod/secret" ] }, { "Effect": "Deny", "Action": [ "execute-api:ManageConnections" ], "Resource": [ "arn:aws:execute-api:us-east-1:account-id:api-id/*" ] } ] }
