View a markdown version of this page

Panel de implementación - Creador de aplicaciones de IA generativa en AWS
Autorizadores personalizados de API Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Panel de implementación

Autorizadores personalizados de API Gateway

A simple vista, los autorizadores personalizados de Lambda para API Gateway se utilizan para todas las llamadas a la API ( RESTful tanto las llamadas como las WebSocket basadas) a fin de validar si un usuario determinado tiene permiso para realizar una acción en función de los grupos a los que pertenece. Este autorizador personalizado está respaldado por una tabla de DynamoDB que contiene las políticas de cada grupo. Al invocar una API, API Gateway invoca la función Lambda de autorización personalizada, que decodifica el token de acceso de Amazon Cognito proporcionado para determinar a qué grupos de usuarios pertenece el usuario. A continuación, se consulta la tabla de políticas por nombre de grupo para obtener la política correspondiente a ese grupo.

En cada implementación de un nuevo caso de uso, la política de administración se actualiza para almacenar una nueva declaración que permita la acción Execute-API:Invoke en la API de ese caso de uso. Cuando se eliminan los casos de uso, la declaración correspondiente se elimina de la política.

En el caso de los grupos creados para un caso de uso individual, solo hay una sentencia en la política, lo que permite la acción Execute-API:Invoke únicamente en la API de ese caso de uso.

Gracias a esta estructura, cualquier usuario que pertenezca al grupo de un caso de uso puede acceder a la API de ese caso de uso. Un solo usuario también se puede añadir manualmente a varios grupos para permitir que ese usuario utilice varios casos de uso.

aviso

También puede editar manualmente las políticas de un grupo determinado en la tabla de políticas si desea conceder acceso a un nuevo caso de uso a un grupo de usuarios existente. El grupo de casos de uso se elimina cuando se elimina el caso de uso (incluso si ha realizado modificaciones manuales), así que proceda con precaución al eliminar un caso de uso.

En el caso de que una pila de casos de uso se implemente de forma independiente (sin el uso del panel de implementación), se crea un grupo de usuarios de Amazon Cognito para esa implementación que contiene un solo usuario con acceso a la API de ese caso de uso. Este grupo de usuarios pertenece únicamente a este caso de uso y no se comparte con otras implementaciones independientes.