Kontrollieren des Zugriffs für den API-Aufruf - Amazon API Gateway
Mit IAM-Richtlinien steuern, wer eine API Gateway-API-Methode aufrufen kannAnweisungsreferenz für IAM-Richtlinien zur Ausführung der API in API Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontrollieren des Zugriffs für den API-Aufruf

In diesem Abschnitt erfahren Sie mehr über das Berechtigungsmodell für die Zugriffskontrolle Ihrer API mithilfe von IAM-Berechtigungen. Wenn die IAM-Autorisierung aktiviert ist, müssen Clients Signature Version 4a (SigV4a) und Signature Version 4 (Sigv4) verwenden, um ihre Anfragen mit Anmeldeinformationen zu signieren. AWS Weitere Informationen finden Sie unter AWS Signature Version 4.

In diesem Abschnitt finden Sie eine Vorlage einer IAM-Richtlinienanweisung sowie die Referenz zur Richtlinienanweisung. In der Richtlinienanweisungsreferenz sind die Formate der Action- und Resource-Felder für den API-Ausführungsservice enthalten. Mithilfe dieser Referenzen erstellen Sie Ihre IAM-Richtlinienanweisung. Bei der Erstellung Ihrer IAM-Richtlinienanweisung sollten Sie auch berücksichtigen, wie sich Ressourcenrichtlinien von API Gateway auf den Genehmigungsworkflow auswirken. Weitere Informationen finden Sie unter So beeinflussen API Gateway-Ressourcenrichtlinien den Autorisierungs-Workflow.

Für private Zwecke APIs sollten Sie eine Kombination aus einer API-Gateway-Ressourcenrichtlinie und einer VPC-Endpunktrichtlinie verwenden. Weitere Informationen finden Sie unter den folgenden Themen:

Mit IAM-Richtlinien steuern, wer eine API Gateway-API-Methode aufrufen kann

Um mit IAM-Berechtigungen zu steuern, wer eine bereitgestellte API aufrufen kann oder nicht, erstellen Sie ein IAM-Richtliniendokument mit den erforderlichen Berechtigungen. Eine Vorlage für ein solches Richtliniendokument sehen Sie im Folgenden.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Permission",
      "Action": [
        "execute-api:Execution-operation"           
      ],
      "Resource": [
        "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
      ]
    }
  ]
}

Hier muss Permission durch Allow oder Deny ersetzt werden, abhängig davon, ob Sie die enthaltenen Berechtigungen erteilen oder entziehen möchten.Execution-operation ist durch die vom API-Ausführungsdienst unterstützten Operationen zu ersetzen.METHOD_HTTP_VERB steht für ein HTTP-Verb, das von den angegebenen Ressourcen unterstützt wird. Resource-path ist der Platzhalter für den URL-Pfad einer bereitgestellten API-Resource-Instance, die das genannte METHOD_HTTP_VERB unterstützt. Weitere Informationen finden Sie unter Anweisungsreferenz für IAM-Richtlinien zur Ausführung der API in API Gateway.

Anmerkung

Damit IAM-Richtlinien wirksam sind, müssen Sie die IAM-Authentifizierung bei API-Methoden aktiviert haben, indem Sie AWS_IAM für die Eigenschaft authorizationType der Methoden festlegen. Andernfalls werden diese API-Methoden öffentlich zugänglich gemacht.

Angenommen, Sie möchten einem Benutzer die Berechtigung erteilen, eine Liste mit Haustieren anzusehen, die von einer bestimmten API zur Verfügung gestellt wird. Der Benutzer darf der Liste aber kein Haustier hinzufügen. Für diesen Fall können Sie die folgende Anweisung in die IAM-Richtlinie einschließen:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"           
      ],
      "Resource": [
        "arn:aws:execute-api:us-east-1:111111111111:api-id/*/GET/pets"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "execute-api:Invoke"           
      ],
      "Resource": [
        "arn:aws:execute-api:us-east-1:111111111111:api-id/*/POST/pets"
      ]
    }
  ]
}

Um einem Benutzer die Berechtigung zum Anzeigen eines bestimmten Haustiers zu erteilen, das von einer API zur Verfügung gestellt wird, die als GET /pets/{petId} konfiguriert ist, können Sie die folgende Anweisung in die IAM-Richtlinie einschließen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:111122223333:api-id/*/GET/pets/a1b2"
            ]
        }
    ]
}

Anweisungsreferenz für IAM-Richtlinien zur Ausführung der API in API Gateway

Im Folgenden werden die "Action"- und "Resource"-Formate von IAM-Richtlinienanweisungen für Zugriffsberechtigungen zur Ausführung einer API beschrieben.

Aktionsformat für Berechtigungen zur Ausführung der API in API Gateway

Der Action-Ausdruck zur API-Ausführung weist das folgende allgemeine Format auf:

execute-api:action

wo action ist eine API-ausführende Aktion verfügbar:

  • *, repräsentiert alle der folgenden Aktionen.

  • Invoke – wird verwendet, um eine API für eine Client-Anforderung aufzurufen.

  • InvalidateCache – um den API-Cache für eine Client-Anforderung ungültig zu machen.

Ressourcenformat für Berechtigungen zur Ausführung der API in API Gateway

Der Resource-Ausdruck zur API-Ausführung weist das folgende allgemeine Format auf:

arn:aws:execute-api:region:account-id:api-id/stage-name/HTTP-VERB/resource-path-specifier

Wobei:

  • regionist die AWS Region (z. B. us-east-1 oder * für alle AWS Regionen), die der bereitgestellten API für die Methode entspricht.

  • account-idist die 12-stellige AWS Konto-ID des REST-API-Besitzers.

  • api-idist der Identifier, den API Gateway der API für die Methode zugewiesen hat.

  • stage-nameist der Name der Phase, die der Methode zugeordnet ist.

  • HTTP-VERBist das HTTP-Verb für die Methode. Es kann eines der folgenden Verben sein: GET, POST, PUT, DELETE, PATCH.

  • resource-path-specifierist der Pfad zur gewünschten Methode.

Anmerkung

Wenn Sie einen Platzhalter (*) angeben, wendet der Resource-Ausdruck den Platzhalter auf den Rest des Ausdrucks an.

Hier einige Ressourcenausdrücke als Beispiel:

  • arn:aws:execute-api:*:*:*für jeden Ressourcenpfad in jeder Phase, für jede API in jeder AWS Region.

  • arn:aws:execute-api:us-east-1:*:*für jeden Ressourcenpfad in jeder Phase, für jede API in der AWS Region vonus-east-1.

  • arn:aws:execute-api:us-east-1:*:api-id/*für jeden Ressourcenpfad in jeder Phase, für die API mit der Kennung api-id in der AWS Region us-east-1.

  • arn:aws:execute-api:us-east-1:*:api-id/test/*für jeden Ressourcenpfad in der Phase vontest, für die API mit der Kennung von api-id in der AWS Region us-east-1.

Weitere Informationen hierzu finden Sie unter Referenz zu API Gateway Amazon-Ressourcenname (ARN).