本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 IAM 授權控制對 WebSocket API 的存取 WebSocket API 及 [REST API](api-gateway-control-access-using-iam-policies-to-invoke-api.md) 具備類似的 IAM 授權,除了以下例外: + 除了現有動作 (`execute-api`、`ManageConnections`),`Invoke` 動作也支援 `InvalidateCache`。`ManageConnections` 會控制 @connections API 的存取。 + WebSocket 路由使用不同的 ARN 格式: ``` arn:aws:execute-api:region:account-id:api-id/stage-name/route-key ``` + `@connections` API 使用的 ARN 格式與 REST API 相同: ``` arn:aws:execute-api:region:account-id:api-id/stage-name/POST/@connections ``` **重要** 使用 [IAM 授權](#apigateway-websocket-control-access-iam)時,您必須使用[第 4 版簽署程序 (SigV4)](https://docs.aws.amazon.com/IAM/latest/UserGuide/create-signed-request.html) 來簽署請求。 例如,您可針對用戶端設定下列政策。除了 `Invoke` 階段內的秘密路由,此範例允許所有人針對所有路由傳送訊息 (`prod`),並防止所有人在任何階段回傳訊息給已連線的用戶端 (`ManageConnections`)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-east-1:111122223333:api-id/prod/*" ] }, { "Effect": "Deny", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-east-1:111122223333:api-id/prod/secret" ] }, { "Effect": "Deny", "Action": [ "execute-api:ManageConnections" ], "Resource": [ "arn:aws:execute-api:us-east-1:111122223333:api-id/*" ] } ] } ``` ------