권한 부여자 생성
CreateAuthorizer API를 사용하여 권한 부여자를 생성할 수 있습니다. 다음 예에서는 이 명령에 대해 설명합니다.
aws iot create-authorizer --authorizer-name MyAuthorizer --authorizer-function-arn arn:aws:lambda:us-west-2:<account_id>:function:MyAuthorizerFunction //The ARN of the Lambda function. [--token-key-name MyAuthorizerToken //The key used to extract the token from headers. [--token-signing-public-keys FirstKey= "-----BEGIN PUBLIC KEY----- [...insert your public key here...] -----END PUBLIC KEY-----" [--status ACTIVE] [--tags <value>] [--signing-disabled | --no-signing-disabled]
signing-disabled 파라미터를 사용하여 권한 부여자를 호출할 때마다 서명 유효성 검사를 옵트아웃합니다. 필요한 경우가 아니면 서명을 비활성화하지 않는 것이 좋습니다. 서명 유효성 검사는 알 수 없는 디바이스에서 Lambda 함수를 과도하게 호출하지 않도록 보호합니다. 생성한 후에는 권한 부여자의 signing-disabled 상태를 업데이트 할 수 없습니다. 이 동작을 변경하려면 signing-disabled 파라미터에 대해 또 다른 값의 사용자 지정 권한 부여자를 생성해야 합니다.
tokenKeyName 및 tokenSigningPublicKeys 파라미터의 값은 서명을 사용하지 않도록 설정한 경우 선택 사항입니다. 서명이 활성화된 경우 필수 값입니다.
Lambda 함수와 사용자 지정 권한 부여자를 만든 후에는 명시적으로 AWS IoT Core에 서비스 권한을 부여하여 사용자를 대신해 함수를 호출할 수 있습니다. 이는 다음 명령을 사용하여 가능합니다.
참고
기본 IoT 엔드포인트는 Lambda 함수와 함께 사용자 지정 권한 부여자를 사용하도록 지원하지 않을 수 있습니다. 그 대신, 도메인 구성을 사용하여 새 엔드포인트를 정의한 다음, 사용자 지정 권한 부여자에 대해 해당 엔드포인트를 지정할 수 있습니다.
aws lambda add-permission --function-name <lambda_function_name> --principal iot.amazonaws.com --source-arn <authorizer_arn> --statement-id Id-123 --action "lambda:InvokeFunction"
