Obtenir les autorisations pour créer des mécanismes d’autorisation de groupe d’utilisateurs Amazon Cognito pour une API REST - Amazon API Gateway

Obtenir les autorisations pour créer des mécanismes d’autorisation de groupe d’utilisateurs Amazon Cognito pour une API REST

Pour créer un mécanisme d’autorisation avec un groupe d’utilisateurs Amazon Cognito, vous devez disposer des autorisations Allow pour créer ou mettre à jour un mécanisme d’autorisation avec le groupe d’utilisateurs Amazon Cognito choisi. Le document de politique IAM suivant présente un exemple de ce type d’autorisation :

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:POST"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers",
            "Condition": {
                "ArnLike": {
                    "apigateway:Request/CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:PATCH"
            ],
            "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers/*",
            "Condition": {
                "ArnLike": {
                    "apigateway:Request/CognitoUserPoolProviderArn": [
                        "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO",
                        "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN"
                    ]
                }
            }
        }
    ]
}

Assurez-vous que la politique est attachée à un groupe IAM auquel vous appartenez ou à un rôle IAM qui vous a été attribué.

Dans le document de politique précédent, l’action apigateway:POST est destinée à créer un nouveau mécanisme d’autorisation et l’action apigateway:PATCH, à mettre à jour un mécanisme d’autorisation existant. Vous pouvez restreindre la politique à une région spécifique ou à une API particulière en écrasant les deux premiers caractères génériques (*), respectivement, des valeurs Resource.

Les clauses Condition utilisées ici ont pour but de limiter les autorisations Allowed aux groupes d’utilisateurs spécifiés. Lorsqu’une clause Condition est présente, l’accès aux groupes d’utilisateurs ne correspondant pas aux conditions est refusé. Lorsqu’une autorisation n’est associée à aucune clause Condition, l’accès à tous les groupes d’utilisateurs est autorisé.

Vous disposez des options suivantes pour définir la clause Condition :

  • Vous pouvez définir une expression conditionnelle ArnLike ou ArnEquals afin de permettre la création ou la mise à jour de mécanismes d’autorisation COGNITO_USER_POOLS uniquement avec les groupes d’utilisateurs spécifiés.

  • Vous pouvez définir une expression conditionnelle ArnNotLike ou ArnNotEquals afin de permettre la création ou la mise à jour de mécanismes d’autorisation COGNITO_USER_POOLS avec tout groupe d’utilisateurs non spécifié dans l’expression.

  • Vous pouvez omettre la clause Condition pour autoriser la création ou la mise à jour de mécanismes d’autorisations COGNITO_USER_POOLS avec n’importe quel groupe d’utilisateurs, de n’importe quel compte AWS et dans n’importe quelle région.

Pour plus d’informations sur les expressions conditionnelles Amazon Resource Name (ARN), consultez Opérateurs de condition d’ARN (Amazon Resource Name). Comme le montre l’exemple, apigateway:CognitoUserPoolProviderArn est une liste d’ARN des groupes d’utilisateurs COGNITO_USER_POOLS qui peuvent ou ne peuvent pas être utilisés avec un mécanisme d’autorisation API Gateway de type COGNITO_USER_POOLS.