Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren - Amazon API Gateway
Erstellen eines kontenübergreifenden Amazon-Cognito-Genehmigers für eine REST-API

Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren

Sie können jetzt auch einen Amazon Cognito-Benutzerpool von einem anderen AWS-Konto als API-Genehmiger verwenden. Der Amazon Cognito-Benutzerpool kann Bearer-Token-Authentifizierungsstrategien wie OAuth oder SAML verwenden. Dadurch ist es einfach, einen zentralen Genehmiger eines Amazon Cognito-Benutzerpools über mehrere API Gateway-APIs hinweg zentral zu verwalten und gemeinsam zu nutzen.

In diesem Abschnitt zeigen wir, wie ein kontenübergreifender Amazon Cognito-Benutzerpool mit Hilfe der Amazon API Gateway-Konsole konfiguriert wird.

Diese Anweisungen gehen davon aus, dass Sie bereits in einem AWS-Konto über eine API-Gateway-API und in einem anderen Konto über einen Amazon Cognito-Benutzerpool verfügen.

Erstellen eines kontenübergreifenden Amazon-Cognito-Genehmigers für eine REST-API

Melden Sie sich in der Amazon-API-Gateway-Konsole bei dem Konto an, in dem Ihre API enthalten ist, und gehen Sie wie folgt vor:

  1. Erstellen Sie eine neue API oder wählen Sie eine vorhandene API in API Gateway aus.

  2. Wählen Sie im Hauptnavigationsbereich Genehmiger.

  3. Wählen Sie Genehmiger erstellen aus.

  4. Zur Konfiguration des neuen Genehmigers für die Verwendung eines Benutzerpools führen Sie die folgenden Schritte aus:

    1. Geben Sie unter Name des Genehmigers einen Namen ein.

    2. Wählen Sie als Genehmiger-Typ Cognito aus.

    3. Geben Sie den vollständigen ARN für den Benutzerpool in Ihrem zweiten Konto in das Feld Cognito-Benutzerpool ein.

      Anmerkung

      In der Amazon Cognito-Konsole finden Sie den ARN für eigene Benutzerpools im Feld Pool ARN des Bereichs General Settings (Allgemeine Einstellungen).

    4. Geben Sie für Token-Quelle als Header-Name Authorization ein, um das Identitäts- oder Zugriffstoken zu übergeben, das von Amazon Cognito bei erfolgreicher Anmeldung eines Benutzers zurückgegeben wird.

    5. Optional können Sie einen regulären Ausdruck im Feld Tokenvalidierung eingeben, um das aud-Feld (Zielgruppe) des Identitätstokens auszuwerten, bevor die Anfrage mit Amazon Cognito genehmigt wird. Beachten Sie, dass diese Validierung bei Verwendung eines Zugriffstoken die Anforderung zurückweist, da das Zugriffstoken das aud-Feld nicht enthält.

    6. Wählen Sie Genehmiger erstellen aus.