Je možné ověřit s AWS Podpis V4, a nastavit zásady přístupu k backend API je založen na identitě spojené s podpisem?
Nebo jsou podepsané zprávy používá se pouze pro přístup k AWS Infrastrukturu API. například API Gateway API a ne API, které řídí.
Je možné ověřit s AWS Podpis V4, a nastavit zásady přístupu k backend API je založen na identitě spojené s podpisem?
Nebo jsou podepsané zprávy používá se pouze pro přístup k AWS Infrastrukturu API. například API Gateway API a ne API, které řídí.
Ano, můžete. Pokud nastavíte authorizationType
na metody definované v API Gateway AWS_IAM
pak metoda může být vyvolána pouze je-li žádost podepsána AWS hlavní (uživatel nebo převzal roli), které je dovoleno provádět execute-api:Invoke
akce na tuto metodu.
Vidět https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-control-access-using-iam-policies-to-invoke-api.html pro podrobnosti o tom, jak určit akce. Stručně řečeno, vaše politika by měla umožnit execute-api:Invoke
pro ARN, nebo Arny s formátem:
arn:aws:execute-api:region:account-id:api-id/stage-name/HTTP-VERB/resource-path-specifier
Přiřazením různých politik pro různé principy každý ředitel může mít různé úrovně přístupu. Například byste mohli mít politiku, která umožnila všechny HTTP-Slovesa, která je read-write přístup, a další, které povoleny pouze GET, HEAD a MOŽNOSTI jako čtení pouze úroveň přístupu k API. Nebo můžete použít jiný zdroj-cesta-specifikátory povolit pouze určité zdroje, cesty pro každou jistiny.