Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontoübergreifenden Amazon Cognito-Genehmiger für eine REST-API über die API Gateway-Konsole konfigurieren
Sie können jetzt auch einen Amazon Cognito Cognito-Benutzerpool von einem anderen AWS Konto aus als API-Autorisierer verwenden. Der Amazon Cognito-Benutzerpool kann Bearer-Token-Authentifizierungsstrategien wie OAuth oder SAML verwenden. Dadurch ist es einfach, einen zentralen Genehmiger eines Amazon Cognito-Benutzerpools über mehrere API Gateway-APIs hinweg zentral zu verwalten und gemeinsam zu nutzen.
In diesem Abschnitt zeigen wir, wie ein kontenübergreifender Amazon Cognito-Benutzerpool mit Hilfe der Amazon API Gateway-Konsole konfiguriert wird.
Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits eine API Gateway Gateway-API in einem AWS Konto und einen Amazon Cognito Cognito-Benutzerpool in einem anderen Konto haben.
Erstellen Sie einen kontoübergreifenden Amazon Cognito Cognito-Autorisierer für eine REST-API
Melden Sie sich in der Amazon-API-Gateway-Konsole bei dem Konto an, in dem Ihre API enthalten ist, und gehen Sie wie folgt vor:
-
Erstellen Sie eine neue API oder wählen Sie eine vorhandene API in API Gateway aus.
-
Wählen Sie im Hauptnavigationsbereich Genehmiger.
-
Wählen Sie Genehmiger erstellen aus.
-
Zur Konfiguration des neuen Genehmigers für die Verwendung eines Benutzerpools führen Sie die folgenden Schritte aus:
-
Geben Sie unter Name des Genehmigers einen Namen ein.
-
Wählen Sie als Genehmiger-Typ Cognito aus.
-
Geben Sie den vollständigen ARN für den Benutzerpool in Ihrem zweiten Konto in das Feld Cognito-Benutzerpool ein.
Anmerkung
In der Amazon Cognito-Konsole finden Sie den ARN für eigene Benutzerpools im Feld Pool ARN des Bereichs General Settings (Allgemeine Einstellungen).
-
Geben Sie für Token-Quelle als Header-Name
Authorization
ein, um das Identitäts- oder Zugriffstoken zu übergeben, das von Amazon Cognito bei erfolgreicher Anmeldung eines Benutzers zurückgegeben wird. -
Optional können Sie einen regulären Ausdruck im Feld Tokenvalidierung eingeben, um das
aud
-Feld (Zielgruppe) des Identitätstokens auszuwerten, bevor die Anfrage mit Amazon Cognito genehmigt wird. Beachten Sie, dass diese Validierung bei Verwendung eines Zugriffstoken die Anforderung zurückweist, da das Zugriffstoken dasaud
-Feld nicht enthält. -
Wählen Sie Genehmiger erstellen aus.
-