[英]How to access the AWS APIGateway based on the cognito user pool group roles
我创建了一个用户池并添加了 2 个用户组。 注册 2 个用户并附加到不同的组。 The groups having different roles, 1 role having a policy, that can execute the Lambda function with resource GET /countries another role having another policy, that can execute the Lambda function with the resource POST /countries . 但是两个用户都可以通过将 ID 令牌作为授权 header 传递来访问这两个资源。
我使用了类似的政策
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-west-1:12098989898:sdsds56ffdf/*/GET/countries"
}]
}
我需要在保单中添加任何条件吗? 为什么用户可以访问这 2 个资源。 我们如何根据用户池组进行限制?
您使用的默认认知授权方仅检查令牌是否有效并且是否属于正确的用户池。 如果您还想检查组,您可以使用自定义 lambda 授权器,使用 sdk 将令牌传递给 cognito 并检查用户所属的组。
或者您可以稍微更改授权人,使其将组名发送到您可以进行条件检查的后端。
AWS Cognito角色:区分联合身份池角色和用户池组角色
[英]AWS Cognito role: Distinguish between Federated Identity Pool roles and User Pool Group roles
如何为属于多个用户池组的 AWS Cognito 用户切换 IAM 角色?
[英]How to switch IAM roles for AWS Cognito User belonging to multiple User Pool groups?
AWS Cognito 用户池组优先级 - 按预期工作但无用或损坏?
[英]AWS Cognito user pool group precedence - working as expected and useless or broken?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.