Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Acceso a recursos con API Gateway después del inicio de sesión Los tokens de los grupos de usuarios de Amazon Cognito suelen utilizarse para autorizar las solicitudes a una [API de REST de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html). Los ámbitos OAuth 2.0 de los tokens de acceso pueden autorizar un método y una ruta, como `HTTP GET` en el caso de. `/app_assets` Los tokens de ID pueden servir como autenticación genérica en una API y pueden transferir los atributos del usuario al servicio de backend. API Gateway tiene opciones de autorización personalizadas adicionales, como los [autorizadores JWT para HTTP](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html) y los autorizadores APIs [Lambda que pueden aplicar una lógica](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) más detallada. El siguiente diagrama ilustra una aplicación que está accediendo a una API REST con los alcances 2.0 en un token de OAuth acceso. ![\[Diagrama de flujo de una aplicación que se autentica con un grupo de usuarios de Amazon Cognito y autoriza el acceso a los recursos de API con Amazon API Gateway.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/access-services-api-gateway.png) La aplicación debe recopilar los tokens de las sesiones autenticadas y añadirlos como tokens de portadores a un encabezado `Authorization` de la solicitud. Configure el autorizador que ha configurado para la API, la ruta y el método para evaluar el contenido de los tokens. API Gateway devuelve datos solo si la solicitud cumple las condiciones configuradas para el autorizador. A continuación mostramos varias formas que API Gateway puede utilizar para aprobar el acceso desde una aplicación: + El token de acceso es válido, no ha caducado y contiene el ámbito OAuth 2.0 correcto. El [autorizador de grupos de usuarios de Amazon Cognito para una API de REST](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html) es una implementación común con una barrera de entrada baja. También puede evaluar el cuerpo, los parámetros de cadena de consulta y los encabezados de una solicitud a este tipo de autorizador. + El token de ID es válido y no ha caducado. Al pasar un token de ID a un autorizador de Amazon Cognito, puede realizar una validación adicional del contenido del token de ID en el servidor de aplicaciones. + Un grupo, una notificación, un atributo o un rol de un token de acceso o ID cumple los requisitos que se definen en una función de Lambda. Un [autorizador de Lambda](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) analiza el token del encabezado de la solicitud y lo evalúa para tomar una decisión de autorización. Puede crear una lógica personalizada de constructo en la función o realizar una solicitud de API a [Amazon Verified Permissions](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/what-is-avp.html). También puede autorizar solicitudes a una [API GraphQL de AWS AppSync](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html#amazon-cognito-user-pools-authorization) con tokens de un grupo de usuarios.