我们在AWS API Gateway 中托管了一个 API。这需要得到保护,为此我们使用AWS Cognito User Pool 来授予对移动客户端和网络应用程序的访问权限。
我们还希望将 API 访问权限授予内部系统,在我们的例子中是 AWS Lambdas。
谁能解释为外部最终用户以及内部微服务保护 API Gateway 资源的最佳方法?
感谢任何帮助。
【问题讨论】:
标签: amazon-web-services security oauth-2.0 aws-api-gateway amazon-cognito
外部用户身份验证
为了保护 API Gateway,您可以结合 AWS Cognito + API Gateway。
转到:
AWS 控制台 -> API Gateway -> 选择您的 API -> 授权人 -> 创建新授权人
然后选择您的 API -> 资源 -> 对于您需要授权的每个方法,您必须将其附加到方法请求中,如下所示:
当您使用移动应用程序时,最好在您的应用程序中实现 AWS amplify 以处理 AWS cognito 身份验证。用户登录后,您可以检索令牌并在每个 API 调用的 Authorizer 标头中使用它,以确认用户已登录并可以使用 API。
内部微服务
对于内部微服务,您可以仅使用 IAM 角色 并授予这些角色访问 API 网关的权限。然后将角色附加到您的 EC2 实例或 Lambda。
如果您想使用上述解决方案(Authorizer header 使用 cognito 令牌)组合 与 IAM 角色将不工作 直接调用API,因为它将被 cognito 授权者阻止。
解决方法是通过 IAM 角色和用户 API 从您的内部微服务直接调用您的 lambda,仅供外部使用。 另一种方法是将 2 个 API 连接到相同的 lambda,一个用于内部使用,一个用于外部。
另一种方法
在我看来,在您的情况下,最干净的解决方案是不使用 cognito 授权方身份验证,而是在您的 API 中使用 AWS_IAM 作为授权方法,并在 AWS Cognito 中创建一个组,包括所有 Cognito用户到该组,并将 IAM 角色附加到该组。 通过这样做,当 cognito 用户登录时,将通过附加的 IAM 角色获取临时访问密钥,并且他可以调用您的 API。同时,当您在内部将此角色附加到您的 lambda 时,他们也可以访问您的 API。
为了实现这种方法,您可以遵循:
一个有趣的网址 How Amazon API Gateway Resource Policies Affect Authorization Workflow:
【讨论】: