View a markdown version of this page

Bereitstellungs-Dashboard - Generativer KI-Anwendungsgenerator auf AWS
Benutzerdefinierte API Gateway Gateway-Autorisierer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereitstellungs-Dashboard

Benutzerdefinierte API Gateway Gateway-Autorisierer

Unter der Oberfläche werden benutzerdefinierte Lambda-Autorisierer für API Gateway für alle API-Aufrufe ( RESTful sowohl als auch WebSocket basierend) verwendet, um zu überprüfen, ob ein bestimmter Benutzer berechtigt ist, eine Aktion auf der Grundlage der Gruppe (n) auszuführen, zu der er gehört. Dieser benutzerdefinierte Autorisierer wird von einer DynamoDB-Tabelle unterstützt, die die Richtlinien für jede Gruppe enthält. Beim Aufruf einer API ruft API Gateway die benutzerdefinierte Autorisierungs-Lambda-Funktion auf, die das bereitgestellte Amazon Cognito Cognito-Zugriffstoken dekodiert, um festzustellen, zu welchen Benutzergruppen der Benutzer gehört. Die Richtlinientabelle wird dann nach dem Gruppennamen abgefragt, um die entsprechende Richtlinie für diese Gruppe zurückzugeben.

Bei jeder Bereitstellung eines neuen Anwendungsfalls wird die Admin-Richtlinie aktualisiert, sodass eine neue Anweisung gespeichert wird, die die Aktion Execute-API:Invoke für die API dieses Anwendungsfalls ermöglicht. Wenn Anwendungsfälle gelöscht werden, wird die entsprechende Anweisung aus der Richtlinie entfernt.

Für die Gruppen, die für einen einzelnen Anwendungsfall erstellt wurden, ist nur eine einzige Anweisung in der Richtlinie enthalten, sodass die Aktion Execute-API:Invoke nur für die API dieses Anwendungsfalls ausgeführt werden kann.

Aufgrund dieser Struktur kann jeder Benutzer, der zur Gruppe eines Anwendungsfalls gehört, auf die API dieses Anwendungsfalls zugreifen. Ein einzelner Benutzer kann auch manuell zu mehreren Gruppen hinzugefügt werden, sodass dieser Benutzer mehrere Anwendungsfälle verwenden kann.

Warnung

Sie können die Richtlinien für eine bestimmte Gruppe in der Richtlinientabelle auch manuell bearbeiten, wenn Sie einer vorhandenen Benutzergruppe Zugriff auf einen neuen Anwendungsfall gewähren möchten. Die Anwendungsfallgruppe wird gelöscht, wenn der Anwendungsfall gelöscht wird (auch wenn Sie manuelle Änderungen vorgenommen haben). Gehen Sie daher vorsichtig vor, wenn Sie einen Anwendungsfall löschen.

Für den Fall, dass ein Anwendungsfallstapel eigenständig (ohne die Verwendung des Bereitstellungs-Dashboards) bereitgestellt wird, wird ein Amazon Cognito Cognito-Benutzerpool für diese Bereitstellung erstellt, der einen einzelnen Benutzer mit Zugriff auf die API dieses Anwendungsfalls enthält. Dieser Benutzerpool gehört nur zu diesem Anwendungsfall und wird nicht von anderen eigenständigen Bereitstellungen gemeinsam genutzt.