我正在使用 AWS Cognito 进行与我的应用程序相关的身份验证。因为我也在使用 AWS Api Gateway 在我的应用程序中使用 Lambda,所以我需要在网关上设置安全级别。
在我的应用程序中会有很多用户,反过来,也会有不同的角色(如管理员、营销、管理等)。需要注意的是,这些用户是应用程序用户,而不是 AWS IAM 用户。
我创建了多个 AWS Cognito 用户组,而我在这些组中有多个用户。例如,admin 组的用户可以输入任何公开的 api。例如,营销人员只能列出一些东西,但他们无法访问 API 来创建。
我想知道如何使 Api Gateway 允许或拒绝某些应用程序用户的访问,但基于 AWS Cognito 用户池。
PS:我处理过这些组中的 IAM 角色,处理过联合身份,但我不知道我是否走在正确的道路上。
【问题讨论】:
标签: amazon-web-services aws-api-gateway amazon-cognito
将 Cognito 用户池和组与 Cognito 身份池结合使用,以提供基于角色的细粒度访问控制。
This AWS blog post 提供了有关如何使用 Cognito 用户池和 Cognito 身份池设置基于角色的细粒度访问控制的详细教程。它使用 DynamoDB 和 S3 作为示例,但您可以应用相同的委托人来控制对几乎所有 AWS 服务的访问。
【讨论】:
第 1 步:在 AWS Cognito 中为您的用户池创建 OAuth 范围。 Cognito->用户池->应用集成->资源服务器。 https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-define-resource-servers.html
步骤 2:在 AWS API Gateway 中,使用 Authorization 作为您的 AWS Cognito 用户池,并使用 OAuth Scopes 设置用户池有权访问的资源服务器。 https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enable-cognito-user-pool.html
例如,您的管理员组可能有权访问所有资源服务器,但您的营销组可能具有受限访问权限。因此,如果您的营销组中的某个人向 API 网关发出请求,并且如果他没有访问特定资源服务器的权限,他们将收到 403 响应。希望这会有所帮助。
【讨论】:
下面我展示了我如何在 cognito 中参数化所有内容:
组的作用如下,拒绝所有对api网关的访问:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"execute-api:Invoke"
],
"Resource": "*"
}
]
}
我在 cognito 中创建了一个身份池,用于接收 Amazon Cógnito,我选择了“从令牌中选择角色”,然后选择了“拒绝”。
但是,当我从邮递员登录并获取令牌的 id,然后使用从邮递员指向 Api 网关 URL 的所述数据进行访问时,返回该端点的所有数据,这是不正确的,因为我拒绝它访问。
【讨论】:
arn:aws:execute-api:*:*:*。确保将此策略附加到用户所在的组。