堆棧內存溢出
  簡體   English   中英

如何使用 Cognito 拒絕訪問 API 網關上的端點

[英]How to deny access to an endpoint on API Gateway using Cognito

 原文  2020-06-12 02:19:04       amazon-web-services/ jwt/ authorization/ aws-api-gateway/ amazon-cognito

問題描述

是否可以通過使用“拒絕”策略並將其附加到具有身份池的角色來使用 Cognito 授予用戶特定權限?

我有一個 API,我想在其中限制我的用戶池中特定用戶對某些端點的訪問。 我創建了以下策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:REGION:*:API_ID/*/*/*"
            ]
        }
    ]
}

然后,我將此策略附加到 Web 身份角色,並將此角色分配給我的用戶池中的一個組。 我將 Cognito 提供的身份令牌傳遞給 Cognito 授權方,不幸的是,即使該組中的用戶仍然可以訪問端點。

有沒有辦法僅使用 Cognito 提供的 ID 或訪問令牌為 API 授予用戶特定權限? 如果沒有,那我該怎么辦?

1 個解決方案

解決方案1
 2  2020-06-15 05:26:34

帶有 API 網關(使用 ID 令牌)的 Cognito Authorizer檢查分配給用戶的聲明或 IAM 策略。 如果您在向 API 發出請求時傳遞 ID 令牌,則 API 網關僅檢查 ID 令牌是否有效。 對於您的用例,您可以在 API 上啟用基於 IAM 的身份驗證或使用Lambda 授權方 在 Lambda 授權器中,您可以傳遞 Cognito 令牌,對其進行解碼並根據組信息,為特定請求生成允許或拒絕策略。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何通過 Cognito 用戶 ID 限制訪問 AWS API 網關端點 如何為使用 cognito 登錄的用戶和未登錄的用戶授權 API Gateway Endpoint 如何使用Cognito Id(+配置)調用AWS API Gateway端點? 如何控制對AWS API Gateway Endpoint的訪問 如何拒絕對 AWS API 網關的公共訪問? 無法使用 Cognito 頒發的訪問令牌與 API 網關連接 如何通過 AWS API 網關將多個 Cognito 用戶池用於單個端點? 我很困惑如何使用 Amazon Cognito 用戶池控制 API 網關 Rest API 中的訪問 使用自定義資源訪問 cloudformation 中的 API 網關端點 如何使用 Cognito Auth 測試對 Amazon API 網關的調用
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM