本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# ApiAuth
設定授權以控制對 API Gateway API 的存取。
如需使用 設定存取權的詳細資訊和範例, AWS SAM 請參閱 [使用 AWS SAM 範本控制 API 存取](serverless-controlling-access-to-apis.md)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
AddApiKeyRequiredToCorsPreflight: Boolean
[AddDefaultAuthorizerToCorsPreflight](#sam-api-apiauth-adddefaultauthorizertocorspreflight): Boolean
[ApiKeyRequired](#sam-api-apiauth-apikeyrequired): Boolean
[Authorizers](#sam-api-apiauth-authorizers): CognitoAuthorizer | LambdaTokenAuthorizer | LambdaRequestAuthorizer | AWS_IAM
[DefaultAuthorizer](#sam-api-apiauth-defaultauthorizer): String
[InvokeRole](#sam-api-apiauth-invokerole): String
[ResourcePolicy](#sam-api-apiauth-resourcepolicy): ResourcePolicyStatement
[UsagePlan](#sam-api-apiauth-usageplan): ApiUsagePlan
```
**注意**
`Authorizers` 屬性包含 `AWS_IAM`,但 不需要額外的組態`AWS_IAM`。如需範例,請參閱 [AWS IAM](#sam-property-api-apiauth--examples--aws_iam)。
## Properties
`AddApiKeyRequiredToCorsPreflight`
如果已設定 `ApiKeyRequired`和 `Cors` 屬性,則設定`AddApiKeyRequiredToCorsPreflight`會導致 API 金鑰新增至 `Options` 屬性。
*類型*:布林值
*必要*:否
*預設*:`True`
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`AddDefaultAuthorizerToCorsPreflight`
如果已設定 `DefaultAuthorizer`和 `Cors` 屬性,則設定`AddDefaultAuthorizerToCorsPreflight`會導致預設授權方新增至 OpenAPI 區段中的 `Options` 屬性。
*類型*:布林值
*必要*:否
*預設*:True
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`ApiKeyRequired`
如果設定為 true,則所有 API 事件都需要 API 金鑰。如需 API 金鑰的詳細資訊,請參閱[《 API Gateway 開發人員指南》中的使用 API 金鑰建立和使用用量計劃](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-usage-plans.html)。 **
*類型*:布林值
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`Authorizers`
用於控制 API Gateway API 存取的授權方。
如需詳細資訊,請參閱[使用 AWS SAM 範本控制 API 存取](serverless-controlling-access-to-apis.md)。
*類型*:[CognitoAuthorizer](sam-property-api-cognitoauthorizer.md) \$1 [LambdaTokenAuthorizer](sam-property-api-lambdatokenauthorizer.md) \$1 [LambdaRequestAuthorizer](sam-property-api-lambdarequestauthorizer.md) \$1 AWS\$1IAM
*必要*:否
*預設*:無
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
*其他備註*:SAM 會將授權方新增至 Api 的 OpenApi 定義。
`DefaultAuthorizer`
指定 API Gateway API 的預設授權方,該 API Gateway API 預設將用於授權 API 呼叫。
如果與此 API 相關聯之函數的 Api EventSource 設定為使用 IAM 許可,則此屬性必須設定為 `AWS_IAM`,否則會產生錯誤。
*類型:*字串
*必要*:否
*預設*:無
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`InvokeRole`
將所有資源和方法的整合登入資料設定為此值。
`CALLER_CREDENTIALS` 會映射到 `arn:aws:iam:::/`,使用呼叫者登入資料來叫用端點。
*有效值*:`CALLER_CREDENTIALS`、`NONE`、 `IAMRoleArn`
*類型:*字串
*必要*:否
*預設*:`CALLER_CREDENTIALS`
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`ResourcePolicy`
設定 API 上所有方法和路徑的資源政策。
*類型*:[ResourcePolicyStatement](sam-property-api-resourcepolicystatement.md)
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
*其他備註*:您也可以`AWS::Serverless::Function`使用 在個別 上定義此設定[ApiFunctionAuth](sam-property-function-apifunctionauth.md)。對於具有 APIs,這是必要的`EndpointConfiguration: PRIVATE`。
`UsagePlan`
設定與此 API 相關聯的用量計劃。如需用量計劃的詳細資訊,請參閱《 [API Gateway 開發人員指南》中的使用 API 金鑰建立和使用用量計劃](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-usage-plans.html)。 **
此 AWS SAM 屬性會在設定此屬性時產生三個額外的 CloudFormation 資源:[https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html)、 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html)和 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html)。如需此案例的資訊,請參閱 [已指定 UsagePlan 屬性](sam-specification-generated-resources-api.md#sam-specification-generated-resources-api-usage-plan)。如需所產生 CloudFormation 資源的一般資訊,請參閱 [為 產生 CloudFormation 資源 AWS SAM](sam-specification-generated-resources.md)。
*類型*:[ApiUsagePlan](sam-property-api-apiusageplan.md)
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### CognitoAuth
Cognito 驗證範例
#### YAML
```
Auth:
Authorizers:
MyCognitoAuth:
UserPoolArn:
Fn::GetAtt:
- MyUserPool
- Arn
AuthType: "COGNITO_USER_POOLS"
DefaultAuthorizer: MyCognitoAuth
InvokeRole: CALLER_CREDENTIALS
AddDefaultAuthorizerToCorsPreflight: false
ApiKeyRequired: false
ResourcePolicy:
CustomStatements: [{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "execute-api:/Prod/GET/pets",
"Condition": {
"IpAddress": {
"aws:SourceIp": "1.2.3.4"
}
}
}]
IpRangeDenylist:
- "10.20.30.40"
```
### AWS IAM
AWS IAM 範例
#### YAML
```
Auth:
Authorizers: AWS_IAM
```
# ApiUsagePlan
設定 API Gateway API 的用量計劃。如需用量計劃的詳細資訊,請參閱《 [API Gateway 開發人員指南》中的使用 API 金鑰建立和使用用量計劃](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-api-usage-plans.html)。 **
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[CreateUsagePlan](#sam-api-apiusageplan-createusageplan): String
[Description](#sam-api-apiusageplan-description): String
[Quota](#sam-api-apiusageplan-quota): [QuotaSettings](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-quota)
[Tags](#sam-api-apiusageplan-tags): List
[Throttle](#sam-api-apiusageplan-throttle): [ThrottleSettings](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-throttle)
[UsagePlanName](#sam-api-apiusageplan-usageplanname): String
```
## Properties
`CreateUsagePlan`
決定此用量計劃的設定方式。有效值為 `PER_API`、`SHARED` 和 `NONE`。
`PER_API` 會建立此 API 特有的 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html)、 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html)和 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html) 資源。這些資源的邏輯 IDs `UsagePlanKey`分別為 `UsagePlan`、 `ApiKey`和 。
`SHARED` 會建立 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html)、 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-apikey.html)和 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplankey.html) 資源,這些資源在相同 AWS SAM 範本`CreateUsagePlan: SHARED`中也有 的任何 API 之間共用。這些資源的邏輯 IDs `ServerlessUsagePlanKey`分別為 `ServerlessUsagePlan`、 `ServerlessApiKey`和 。如果您使用此選項,建議您僅針對一個 API 資源新增此用量計劃的其他組態,以避免衝突的定義和不確定狀態。
`NONE` 會停用與此 API 建立或關聯用量計劃。只有在 中指定 `PER_API` `SHARED`或 時,才需要這樣做[AWS SAM 範本的全域區段](sam-specification-template-anatomy-globals.md)。
*有效值*:`PER_API`、`SHARED` 與 `NONE`
*類型:*字串
*必要*:是
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`Description`
用量計劃的描述。
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性會直接傳遞至 `AWS::ApiGateway::UsagePlan` 資源的 `[Description](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-description)` 屬性。
`Quota`
設定使用者可在指定間隔內發出的請求數。
*類型*:[QuotaSettings](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-quota)
*必要*:否
*CloudFormation 相容性*:此屬性會直接傳遞至 `AWS::ApiGateway::UsagePlan` 資源的 `[Quota](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-quota)` 屬性。
`Tags`
要與用量計劃關聯的任意標籤陣列 (金鑰值對)。
此屬性使用 [CloudFormation 標籤類型](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-resource-tags.html)。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性會直接傳遞至 `AWS::ApiGateway::UsagePlan` 資源的 `[Tags](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-tags)` 屬性。
`Throttle`
設定整體請求速率 (每秒平均請求數) 和高載容量。
*類型*:[ThrottleSettings](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-throttle)
*必要*:否
*CloudFormation 相容性*:此屬性會直接傳遞至 `AWS::ApiGateway::UsagePlan` 資源的 `[Throttle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-throttle)` 屬性。
`UsagePlanName`
用量計劃的名稱。
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性會直接傳遞至 `AWS::ApiGateway::UsagePlan` 資源的 `[UsagePlanName](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-apigateway-usageplan.html#cfn-apigateway-usageplan-usageplanname)` 屬性。
## 範例
### UsagePlan
以下是用量計劃範例。
#### YAML
```
Auth:
UsagePlan:
CreateUsagePlan: PER_API
Description: Usage plan for this API
Quota:
Limit: 500
Period: MONTH
Throttle:
BurstLimit: 100
RateLimit: 50
Tags:
- Key: TagName
Value: TagValue
```
# CognitoAuthorizer
定義 Amazon Cognito 使用者集區授權方。
如需詳細資訊和範例,請參閱 [使用 AWS SAM 範本控制 API 存取](serverless-controlling-access-to-apis.md)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[AuthorizationScopes](#sam-api-cognitoauthorizer-authorizationscopes): List
[Identity](#sam-api-cognitoauthorizer-identity): CognitoAuthorizationIdentity
[UserPoolArn](#sam-api-cognitoauthorizer-userpoolarn): String
```
## Properties
`AuthorizationScopes`
此授權方的授權範圍清單。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`Identity`
此屬性可用於在 授權方的傳入請求`IdentitySource`中指定 。
*類型*:[CognitoAuthorizationIdentity](sam-property-api-cognitoauthorizationidentity.md)
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`UserPoolArn`
可以參考使用者集區/指定您要新增此 cognito 授權方的使用者集區
*類型:*字串
*必要*:是
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### CognitoAuth
Cognito 驗證範例
#### YAML
```
Auth:
Authorizers:
MyCognitoAuth:
AuthorizationScopes:
- scope1
- scope2
UserPoolArn:
Fn::GetAtt:
- MyCognitoUserPool
- Arn
Identity:
Header: MyAuthorizationHeader
ValidationExpression: myauthvalidationexpression
```
# CognitoAuthorizationIdentity
此屬性可用於在 授權方的傳入請求中指定 IdentitySource。如需 IdentitySource 的詳細資訊,請參閱 [ApiGateway 授權方 OpenApi 延伸](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-swagger-extensions-authorizer.html)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[Header](#sam-api-cognitoauthorizationidentity-header): String
[ReauthorizeEvery](#sam-api-cognitoauthorizationidentity-reauthorizeevery): Integer
[ValidationExpression](#sam-api-cognitoauthorizationidentity-validationexpression): String
```
## Properties
`Header`
在 OpenApi 定義中指定授權的標頭名稱。
*類型:*字串
*必要*:否
*預設*:授權
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`ReauthorizeEvery`
存活期 (TTL) 期間 (秒),指定 API Gateway 快取授權方結果的時間。如果您指定的值大於 0,則 API Gateway 會快取授權方回應。根據預設,API Gateway 會將此屬性設為 300。值的上限為 3600 (1 小時)。
*類型*:整數
*必要*:否
*預設*:300
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`ValidationExpression`
指定驗證表達式以驗證傳入的 Identity
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### CognitoAuthIdentity
#### YAML
```
Identity:
Header: MyCustomAuthHeader
ValidationExpression: Bearer.*
ReauthorizeEvery: 30
```
# LambdaRequestAuthorizer
設定 Lambda 授權方,以使用 Lambda 函數控制對 API 的存取。
如需詳細資訊和範例,請參閱 [使用 AWS SAM 範本控制 API 存取](serverless-controlling-access-to-apis.md)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
DisableFunctionDefaultPermissions: Boolean
[FunctionArn](#sam-api-lambdarequestauthorizer-functionarn): String
[FunctionInvokeRole](#sam-api-lambdarequestauthorizer-functioninvokerole): String
[FunctionPayloadType](#sam-api-lambdarequestauthorizer-functionpayloadtype): String
[Identity](#sam-api-lambdarequestauthorizer-identity): LambdaRequestAuthorizationIdentity
```
## Properties
`DisableFunctionDefaultPermissions`
指定 `true` AWS SAM 以防止 自動建立 `AWS::Lambda::Permissions` 資源,在您的`AWS::Serverless::Api`資源和授權方 Lambda 函數之間佈建許可。
*預設值*:`false`
*類型*:布林值
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionArn`
指定提供 API 授權的 Lambda 函數的函數 ARN。
AWS SAM 當 `FunctionArn` 針對 指定 時, 會自動建立 `AWS::Lambda::Permissions` 資源`AWS::Serverless::Api`。`AWS::Lambda::Permissions` 資源會在您的 API 和授權方 Lambda 函數之間佈建許可。
*類型:*字串
*必要*:是
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionInvokeRole`
將授權方憑證新增至 Lambda 授權方的 OpenApi 定義。
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionPayloadType`
此屬性可用來定義 API 的 Lambda 授權方類型。
*有效值*:`TOKEN` 或 `REQUEST`
*類型:*字串
*必要*:否
*預設*:`TOKEN`
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`Identity`
此屬性可用於在 授權方的傳入請求`IdentitySource`中指定 。只有在 屬性設定為 時,才需要此`FunctionPayloadType`屬性`REQUEST`。
*類型*:[LambdaRequestAuthorizationIdentity](sam-property-api-lambdarequestauthorizationidentity.md)
*必要*:有條件
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### LambdaRequestAuth
#### YAML
```
Authorizers:
MyLambdaRequestAuth:
FunctionPayloadType: REQUEST
FunctionArn:
Fn::GetAtt:
- MyAuthFunction
- Arn
FunctionInvokeRole:
Fn::GetAtt:
- LambdaAuthInvokeRole
- Arn
Identity:
Headers:
- Authorization1
```
# LambdaRequestAuthorizationIdentity
此屬性可用於在 授權方的傳入請求中指定 IdentitySource。如需 IdentitySource 的詳細資訊,請參閱 [ApiGateway 授權方 OpenApi 延伸](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-swagger-extensions-authorizer.html)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[Context](#sam-api-lambdarequestauthorizationidentity-context): List
[Headers](#sam-api-lambdarequestauthorizationidentity-headers): List
[QueryStrings](#sam-api-lambdarequestauthorizationidentity-querystrings): List
[ReauthorizeEvery](#sam-api-lambdarequestauthorizationidentity-reauthorizeevery): Integer
[StageVariables](#sam-api-lambdarequestauthorizationidentity-stagevariables): List
```
## Properties
`Context`
將指定的內容字串轉換為格式 的映射表達式`context.contextString`。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`Headers`
將標頭轉換為格式 映射表達式的逗號分隔字串`method.request.header.name`。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`QueryStrings`
將指定的查詢字串轉換為格式 映射表達式的逗號分隔字串`method.request.querystring.queryString`。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`ReauthorizeEvery`
存活期 (TTL) 期間 (秒),指定 API Gateway 快取授權方結果的時間。如果您指定的值大於 0,則 API Gateway 會快取授權方回應。根據預設,API Gateway 會將此屬性設為 300。值的上限為 3600 (1 小時)。
*類型*:整數
*必要*:否
*預設*:300
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`StageVariables`
將指定的階段變數轉換為以逗號分隔的格式映射表達式字串`stageVariables.stageVariable`。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### LambdaRequestIdentity
#### YAML
```
Identity:
QueryStrings:
- auth
Headers:
- Authorization
StageVariables:
- VARIABLE
Context:
- authcontext
ReauthorizeEvery: 100
```
# LambdaTokenAuthorizer
設定 Lambda 授權方,以使用 Lambda 函數控制對 API 的存取。
如需詳細資訊和範例,請參閱 [使用 AWS SAM 範本控制 API 存取](serverless-controlling-access-to-apis.md)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
DisableFunctionDefaultPermissions: Boolean
[FunctionArn](#sam-api-lambdatokenauthorizer-functionarn): String
[FunctionInvokeRole](#sam-api-lambdatokenauthorizer-functioninvokerole): String
[FunctionPayloadType](#sam-api-lambdatokenauthorizer-functionpayloadtype): String
[Identity](#sam-api-lambdatokenauthorizer-identity): LambdaTokenAuthorizationIdentity
```
## Properties
`DisableFunctionDefaultPermissions`
指定 `true` AWS SAM 以防止 自動建立 `AWS::Lambda::Permissions` 資源,在您的`AWS::Serverless::Api`資源和授權方 Lambda 函數之間佈建許可。
*預設值*:`false`
*類型*:布林值
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionArn`
指定提供 API 授權的 Lambda 函數的函數 ARN。
AWS SAM 當 `FunctionArn` 針對 指定 時, 會自動建立 `AWS::Lambda::Permissions` 資源`AWS::Serverless::Api`。`AWS::Lambda::Permissions` 資源會在您的 API 和授權方 Lambda 函數之間佈建許可。
*類型:*字串
*必要*:是
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionInvokeRole`
將授權方憑證新增至 Lambda 授權方的 OpenApi 定義。
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`FunctionPayloadType`
此屬性可用來定義 Api 的 Lambda 授權方類型。
*有效值*:`TOKEN` 或 `REQUEST`
*類型:*字串
*必要*:否
*預設*:`TOKEN`
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`Identity`
此屬性可用於在 授權方的傳入請求`IdentitySource`中指定 。只有在 屬性設定為 時,才需要此`FunctionPayloadType`屬性`REQUEST`。
*類型*:[LambdaTokenAuthorizationIdentity](sam-property-api-lambdatokenauthorizationidentity.md)
*必要*:有條件
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### LambdaTokenAuth
#### YAML
```
Authorizers:
MyLambdaTokenAuth:
FunctionArn:
Fn::GetAtt:
- MyAuthFunction
- Arn
Identity:
Header: MyCustomAuthHeader # OPTIONAL; Default: 'Authorization'
ValidationExpression: mycustomauthexpression # OPTIONAL
ReauthorizeEvery: 20 # OPTIONAL; Service Default: 300
```
### BasicLambdaTokenAuth
#### YAML
```
Authorizers:
MyLambdaTokenAuth:
FunctionArn:
Fn::GetAtt:
- MyAuthFunction
- Arn
```
# LambdaTokenAuthorizationIdentity
此屬性可用於在 授權方的傳入請求中指定 IdentitySource。如需 IdentitySource 的詳細資訊,請參閱 [ApiGateway 授權方 OpenApi 延伸](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-swagger-extensions-authorizer.html)。
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[Header](#sam-api-lambdatokenauthorizationidentity-header): String
[ReauthorizeEvery](#sam-api-lambdatokenauthorizationidentity-reauthorizeevery): Integer
[ValidationExpression](#sam-api-lambdatokenauthorizationidentity-validationexpression): String
```
## Properties
`Header`
在 OpenApi 定義中指定授權的標頭名稱。
*類型:*字串
*必要*:否
*預設*:授權
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`ReauthorizeEvery`
存活期 (TTL) 期間 (秒),指定 API Gateway 快取授權方結果的時間。如果您指定的值大於 0,則 API Gateway 會快取授權方回應。根據預設,API Gateway 會將此屬性設為 300。值的上限為 3600 (1 小時)。
*類型*:整數
*必要*:否
*預設*:300
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`ValidationExpression`
指定驗證表達式以驗證傳入的 Identity。
*類型:*字串
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### LambdaTokenIdentity
#### YAML
```
Identity:
Header: MyCustomAuthHeader
ValidationExpression: Bearer.*
ReauthorizeEvery: 30
```
# ResourcePolicyStatement
為 API 的所有方法和路徑設定資源政策。如需資源政策的詳細資訊,請參閱《 [API Gateway 開發人員指南》中的使用 API Gateway 資源政策控制對 API 的存取](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-resource-policies.html)。 **
## 語法
若要在 AWS Serverless Application Model (AWS SAM) 範本中宣告此實體,請使用下列語法。
### YAML
```
[AwsAccountBlacklist](#sam-api-resourcepolicystatement-awsaccountblacklist): List
[AwsAccountWhitelist](#sam-api-resourcepolicystatement-awsaccountwhitelist): List
[CustomStatements](#sam-api-resourcepolicystatement-customstatements): List
[IntrinsicVpcBlacklist](#sam-api-resourcepolicystatement-intrinsicvpcblacklist): List
[IntrinsicVpcWhitelist](#sam-api-resourcepolicystatement-intrinsicvpcwhitelist): List
[IntrinsicVpceBlacklist](#sam-api-resourcepolicystatement-intrinsicvpceblacklist): List
[IntrinsicVpceWhitelist](#sam-api-resourcepolicystatement-intrinsicvpcewhitelist): List
[IpRangeBlacklist](#sam-api-resourcepolicystatement-iprangeblacklist): List
[IpRangeWhitelist](#sam-api-resourcepolicystatement-iprangewhitelist): List
[SourceVpcBlacklist](#sam-api-resourcepolicystatement-sourcevpcblacklist): List
[SourceVpcWhitelist](#sam-api-resourcepolicystatement-sourcevpcwhitelist): List
```
## Properties
`AwsAccountBlacklist`
要封鎖 AWS 的帳戶。
*類型*:字串的清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`AwsAccountWhitelist`
要允許 AWS 的帳戶。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型*:字串的清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`CustomStatements`
要套用至此 API 的自訂資源政策陳述式清單。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`IntrinsicVpcBlacklist`
要封鎖的虛擬私有雲端 (VPCs) 清單,其中每個 VPC 指定為參考,例如[動態參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)或`Ref`[內部函數](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`IntrinsicVpcWhitelist`
要允許的 VPCs 清單,其中每個 VPC 指定為參考,例如[動態參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)或`Ref`[內部函數](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`IntrinsicVpceBlacklist`
要封鎖的 VPC 端點清單,其中每個 VPC 端點指定為參考,例如[動態參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)或`Ref`[內部函數](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`IntrinsicVpceWhitelist`
要允許的 VPC 端點清單,其中每個 VPC 端點指定為參考,例如[動態參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)或`Ref`[內部函數](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`IpRangeBlacklist`
要封鎖的 IP 地址或地址範圍。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`IpRangeWhitelist`
要允許的 IP 地址或地址範圍。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
`SourceVpcBlacklist`
要封鎖的來源 VPC 或 VPC 端點。來源 VPC 名稱必須以 開頭`"vpc-"`,來源 VPC 端點名稱必須以 開頭`"vpce-"`。如需此屬性的範例使用方式,請參閱此頁面底部的範例區段。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等的。
`SourceVpcWhitelist`
要允許的來源 VPC 或 VPC 端點。來源 VPC 名稱必須以 開頭`"vpc-"`,來源 VPC 端點名稱必須以 開頭`"vpce-"`。
*類型:*清單
*必要*:否
*CloudFormation 相容性*:此屬性對 是唯一的 AWS SAM ,並且沒有 CloudFormation 同等屬性。
## 範例
### 資源政策範例
下列範例會封鎖兩個 IP 地址和來源 VPC,並允許 AWS 帳戶。
#### YAML
```
Auth:
ResourcePolicy:
CustomStatements: [{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "execute-api:/Prod/GET/pets",
"Condition": {
"IpAddress": {
"aws:SourceIp": "1.2.3.4"
}
}
}]
IpRangeBlacklist:
- "10.20.30.40"
- "1.2.3.4"
SourceVpcBlacklist:
- "vpce-1a2b3c4d"
AwsAccountWhitelist:
- "111122223333"
IntrinsicVpcBlacklist:
- "{{resolve:ssm:SomeVPCReference:1}}"
- !Ref MyVPC
IntrinsicVpceWhitelist:
- "{{resolve:ssm:SomeVPCEReference:1}}"
- !Ref MyVPCE
```