배포 대시보드

API Gateway 사용자 지정 권한 부여자

표면 아래에서 API Gateway에 대한 Lambda 사용자 지정 권한 부여자는 모든 API 호출(RESTful 및 WebSocket 기반 모두)에 사용되어 지정된 사용자에게 자신이 속한 그룹(들)을 기반으로 작업을 수행할 권한이 있는지 확인합니다. 이 사용자 지정 권한 부여자는 각 그룹의 정책이 포함된 DynamoDB 테이블에 의해 지원됩니다. API 호출 시 API Gateway는 사용자 지정 권한 부여자 Lambda 함수를 호출합니다.이 함수는 제공된 Amazon Cognito 액세스 토큰을 디코딩하여 사용자가 속한 사용자 그룹을 결정합니다. 그런 다음 그룹 이름으로 정책 테이블을 쿼리하여 해당 그룹에 대한 관련 정책을 반환합니다.

새로운 사용 사례 배포마다 관리자 정책이 업데이트되어 해당 사용 사례의 API에서 execute-api:Invoke 작업을 허용하는 새 문이 저장됩니다. 사용 사례가 삭제되면 해당 문이 정책에서 제거됩니다.

개별 사용 사례에 대해 생성된 그룹의 경우 정책에 단일 문만 있으므로 해당 사용 사례의 API에서만 execute-api:Invoke 작업을 허용합니다.

이 구조로 인해 사용 사례의 그룹에 속한 모든 사용자는 해당 사용 사례의 API에 액세스할 수 있습니다. 단일 사용자를 여러 그룹에 수동으로 추가하여 해당 사용자가 여러 사용 사례를 사용할 수 있도록 할 수도 있습니다.

주의

기존 사용자 그룹에 새 사용 사례에 대한 액세스 권한을 부여하려면 정책 테이블에서 지정된 그룹의 정책을 수동으로 편집할 수도 있습니다. 사용 사례가 삭제되면 사용 사례 그룹이 삭제되므로(수동으로 편집한 경우에도) 사용 사례를 삭제할 때는 주의해야 합니다.

사용 사례 스택이 독립 실행형으로 배포되는 경우(배포 대시보드 사용 안 함) 해당 사용 사례의 API에 액세스할 수 있는 단일 사용자를 포함하는 해당 배포에 대해 Amazon Cognito 사용자 풀이 생성됩니다. 이 사용자 풀은이 사용 사례에만 속하며 다른 독립 실행형 배포에서는 공유되지 않습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

아키텍처 세부 정보

텍스트 사용 사례