View a markdown version of this page

Tableau de bord de déploiement - Générateur d'applications d'IA générative sur AWS
Autorisateurs personnalisés API Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tableau de bord de déploiement

Autorisateurs personnalisés API Gateway

En apparence, les autorisateurs Lambda personnalisés pour API Gateway sont utilisés pour tous les appels d'API ( WebSocket basés ou RESTful non) afin de valider si un utilisateur donné est autorisé à effectuer une action en fonction du ou des groupes auxquels il appartient. Cet autorisateur personnalisé est soutenu par une table DynamoDB contenant les politiques de chaque groupe. Lors de l'appel d'une API, API Gateway invoque la fonction Lambda d'autorisation personnalisée, qui décode le jeton d'accès Amazon Cognito fourni afin de déterminer à quels groupes d'utilisateurs appartient l'utilisateur. La table des politiques est ensuite interrogée par nom de groupe afin de renvoyer la politique appropriée pour ce groupe.

À chaque nouveau déploiement de cas d'utilisation, la politique d'administration est mise à jour pour stocker une nouvelle instruction autorisant l'action Execute-API:Invoke sur l'API de ce cas d'utilisation. Lorsque des cas d'utilisation sont supprimés, l'instruction correspondante est supprimée de la politique.

Pour les groupes créés pour un cas d'utilisation individuel, une seule instruction est présente dans la politique, autorisant l'action Execute-API:Invoke uniquement sur l'API de ce cas d'utilisation.

Grâce à cette structure, tout utilisateur appartenant au groupe d'un cas d'utilisation peut accéder à l'API de ce cas d'utilisation. Un seul utilisateur peut également être ajouté manuellement à plusieurs groupes pour lui permettre d'utiliser plusieurs cas d'utilisation.

Avertissement

Vous pouvez également modifier manuellement les politiques d'un groupe donné dans le tableau des politiques si vous souhaitez accorder l'accès à un nouveau cas d'utilisation à un groupe d'utilisateurs existant. Le groupe de cas d'utilisation est supprimé lorsque le cas d'utilisation est supprimé (même si vous avez effectué des modifications manuelles). Soyez donc prudent lorsque vous supprimez un cas d'utilisation.

Dans le cas où une pile de cas d'utilisation est déployée de manière autonome (sans utiliser le tableau de bord de déploiement), un groupe d'utilisateurs Amazon Cognito est créé pour ce déploiement, contenant un seul utilisateur ayant accès à l'API de ce cas d'utilisation. Ce groupe d'utilisateurs appartient uniquement à ce cas d'utilisation et n'est pas partagé entre d'autres déploiements autonomes.