# デプロイダッシュボード
<a name="deployment-dashboard-1"></a>

## API Gateway カスタムオーソライザー
<a name="api-gateway-custom-authorizers"></a>

表面化では、API Gateway の Lambda カスタムオーソライザーは、すべての API コール (RESTful ベースと WebSocket ベースの両方) で使用され、特定のユーザーが所属グループに基づいてアクションを実行するアクセス許可を持っているかどうかを検証します。このカスタムオーソライザーは、各グループのポリシーを含む DynamoDB テーブルに基づいています。API の呼び出すと、API Gateway はカスタムオーソライザーの Lambda 関数を呼び出します。この関数は、提供された Amazon Cognito アクセストークンをデコードして、ユーザーが属するユーザーグループを判定します。次に、ポリシーテーブルにグループ名でクエリが実行され、そのグループの関連するポリシーが返されます。

新しいユースケースがデプロイされるたびに、管理ポリシーが更新され、そのユースケースの API に対する **execute-api:Invoke** アクションを許可する新しいステートメントが保存されます。ユースケースが削除されると、対応するステートメントがポリシーから削除されます。

個別のユースケース用に作成されたグループの場合、ポリシーには 1 つのステートメントしか存在せず、そのユースケースの API でのみ **execute-api:Invoke** アクションを実行できます。

この構造により、ユースケースのグループに属するすべてのユーザーがそのユースケースの API にアクセスできます。また、1 人のユーザーを手動で複数のグループに追加して、そのユーザーが複数のユースケースを使用できるようにすることもできます。

**警告**  
既存のユーザーのグループに新しいユースケースへのアクセスを許可する場合は、ポリシーテーブル内の特定のグループのポリシーを手動で編集することもできます。ユースケースグループは、ユースケースが削除されると (手動で編集した場合でも) 削除されるため、ユースケースを削除するときは注意してください。

ユースケーススタックがデプロイダッシュボードを使用せずにスタンドアロンでデプロイされる場合、そのユースケースの API にアクセスできる単一のユーザーを含む [Amazon Cognito ユーザープール](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)がそのデプロイ用に作成されます。このユーザープールはこのユースケースにのみ属し、他のスタンドアロンのデプロイ間では共有されません。