View a markdown version of this page

Dashboard di implementazione - Generative AI Application Builder su AWS
Autorizzatori personalizzati API Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dashboard di implementazione

Autorizzatori personalizzati API Gateway

In apparenza, gli autorizzatori personalizzati Lambda per API Gateway vengono utilizzati per tutte le chiamate API ( RESTful entrambe WebSocket e basate) per verificare se un determinato utente è autorizzato a eseguire un'azione in base ai gruppi a cui appartiene. Questo autorizzatore personalizzato è supportato da una tabella DynamoDB contenente le politiche per ogni gruppo. Quando viene richiamata un'API, API Gateway richiama la funzione di autorizzazione personalizzata Lambda, che decodifica il token di accesso Amazon Cognito fornito per determinare a quali gruppi di utenti appartiene l'utente. La tabella delle politiche viene quindi interrogata in base al nome del gruppo per restituire la politica pertinente per quel gruppo.

Ad ogni nuova implementazione di un caso d'uso, la policy di amministrazione viene aggiornata per memorizzare una nuova istruzione che consente l'azione Execute-API:Invoke sull'API di quel caso d'uso. Quando i casi d'uso vengono eliminati, l'istruzione corrispondente viene rimossa dalla policy.

Per i gruppi creati per un singolo caso d'uso, nella policy è presente una sola istruzione, che consente l'azione Execute-API:Invoke solo sull'API di quel caso d'uso.

Grazie a questa struttura, qualsiasi utente appartenente al gruppo di un caso d'uso può accedere all'API di quel caso d'uso. Un singolo utente può anche essere aggiunto manualmente a più gruppi per consentire a quell'utente di utilizzare più casi d'uso.

avvertimento

Puoi anche modificare manualmente le politiche per un determinato gruppo nella tabella delle politiche se desideri concedere l'accesso a un nuovo caso d'uso a un gruppo di utenti esistente. Il gruppo di casi d'uso viene eliminato quando lo use case viene eliminato (anche se sono state apportate modifiche manuali), quindi procedi con cautela quando elimini un caso d'uso.

Nel caso in cui uno stack di casi d'uso venga distribuito in modo indipendente (senza l'uso della dashboard di distribuzione), viene creato un pool di utenti Amazon Cognito per quella distribuzione contenente un singolo utente con accesso all'API di quel caso d'uso. Questo pool di utenti appartiene solo a questo caso d'uso e non è condiviso tra altre distribuzioni autonome.