Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration d’un mécanisme d’autorisation Amazon Cognito entre comptes pour une API REST à l’aide de la console API Gateway
<a name="apigateway-cross-account-cognito-authorizer"></a>

Vous pouvez désormais également utiliser un groupe d'utilisateurs Amazon Cognito d'un autre AWS compte comme autorisateur d'API. Le groupe d'utilisateurs Amazon Cognito peut utiliser des stratégies d'authentification par jeton porteur, telles que OAuth le protocole SAML. Il est ainsi facile de gérer et de partager de manière centralisée un autorisateur de groupe d'utilisateurs Amazon Cognito central sur plusieurs API Gateway. APIs

Dans cette section, nous montrons comment configurer un groupe d’utilisateurs Amazon Cognito entre comptes à l’aide de la console Amazon API Gateway.

Ces instructions supposent que vous disposez déjà d'une API API Gateway sur un AWS compte et d'un groupe d'utilisateurs Amazon Cognito sur un autre compte.

## Création d’un mécanisme d’autorisation Amazon Cognito entre comptes pour une API REST
<a name="apigateway-configure-cross-account-cognito-authorizer"></a>

Connectez-vous à la console Amazon API Gateway dans le compte qui contient votre API, puis procédez comme suit :

1. Créez une API ou sélectionnez une API existante dans API Gateway.

1. Dans le panneau de navigation principal, choisissez **Mécanismes d'autorisation**.

1. Choisissez **Créer un mécanisme d'autorisation**.

1. Pour configurer le nouveau mécanisme d'autorisation afin d'utiliser un groupe d'utilisateurs, procédez comme suit :

   1.  Pour **Nom du mécanisme d’autorisation**, entrez un nom. 

   1. Pour **Type de mécanisme d'autorisation**, sélectionnez **Cognito**.

   1. Pour **Groupe d’utilisateurs Cognito**, entrez l’ARN complet du groupe d’utilisateurs que vous avez dans votre deuxième compte.
**Note**  
Dans la console Amazon Cognito, vous pouvez trouver l’ARN de votre groupe d’utilisateurs dans le champ **Pool ARN (ARN du groupe)** du volet **General Settings (Paramètres généraux)**.

   1.  Pour **Source du jeton**, entrez **Authorization** comme nom d'en-tête pour transmettre le jeton d'identité ou le jeton d'accès renvoyé par Amazon Cognito lorsqu'un utilisateur se connecte avec succès. 

   1. (Facultatif) Entrez une expression régulière dans le champ **Validation du jeton** pour valider le champ `aud` (public) du jeton d’identité avant que la demande soit autorisée avec Amazon Cognito. Notez que lors de l'utilisation d'un jeton d'accès, cette validation rejette la demande en raison du jeton d'accès ne contenant pas le champ `aud`.

   1. Choisissez **Créer un mécanisme d'autorisation**.