As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Painel de implantação

Autorizadores personalizados do API Gateway

Abaixo da superfície, os autorizadores personalizados Lambda para o API Gateway são usados para todas as chamadas de API ( RESTful ambas WebSocket e baseadas) para validar se um determinado usuário tem permissão para realizar uma ação com base nos grupos aos quais ele pertence. Esse autorizador personalizado é apoiado por uma tabela do DynamoDB contendo as políticas de cada grupo. Ao invocar uma API, o API Gateway invoca a função Lambda do autorizador personalizado, que decodifica o token de acesso fornecido pelo Amazon Cognito para determinar a quais grupos de usuários o usuário pertence. A tabela de políticas é então consultada pelo nome do grupo para retornar a política relevante para esse grupo.

Em cada nova implantação de caso de uso, a política administrativa é atualizada para armazenar uma nova instrução que permite a ação Execute-API:invoke na API desse caso de uso. Quando os casos de uso são excluídos, a declaração correspondente é removida da política.

Para os grupos criados para um caso de uso individual, somente uma única declaração está presente na política, permitindo a ação Execute-API:invoke somente na API desse caso de uso.

Devido a essa estrutura, qualquer usuário pertencente ao grupo de um caso de uso pode acessar a API desse caso de uso. Um único usuário também pode ser adicionado manualmente a vários grupos para permitir que esse usuário use vários casos de uso.

No caso em que uma pilha de casos de uso é implantada de forma independente (sem o uso do painel de implantação), um grupo de usuários do Amazon Cognito é criado para essa implantação contendo um único usuário com acesso à API desse caso de uso. Esse grupo de usuários pertence somente a esse caso de uso e não é compartilhado entre outras implantações autônomas.