Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # ApiFunctionAuth Configura la autorización a nivel de evento para una API, una ruta y un método específicos. ## Sintaxis Para declarar esta entidad en tu plantilla AWS Serverless Application Model (AWS SAM), usa la siguiente sintaxis. ### YAML ``` [ApiKeyRequired](#sam-function-apifunctionauth-apikeyrequired): Boolean [AuthorizationScopes](#sam-function-apifunctionauth-authorizationscopes): List [Authorizer](#sam-function-apifunctionauth-authorizer): String [InvokeRole](#sam-function-apifunctionauth-invokerole): String OverrideApiAuth: Boolean [ResourcePolicy](#sam-function-apifunctionauth-resourcepolicy): ResourcePolicyStatement ``` ## Propiedades `ApiKeyRequired` Requiere una clave de API para esta API, ruta y método. *Tipo*: Booleano *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `AuthorizationScopes` Los ámbitos de autorización que se aplicarán a esta API, ruta y método. Los ámbitos que especifica anularán los ámbitos aplicados por la propiedad de `DefaultAuthorizer` si los ha especificado. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `Authorizer` `Authorizer` para una función específica. Si ha especificado un autorizador global para su recurso `AWS::Serverless::Api`, puede anular el autorizador configurando `Authorizer` como `NONE`. Para ver un ejemplo, consulta [Anule un autorizador global para su API de REST de Amazon API Gateway](#sam-property-function-apifunctionauth--examples--override). Si utiliza la propiedad `DefinitionBody` de un recurso de `AWS::Serverless::Api` para describir su API, debe usar `OverrideApiAuth` con `Authorizer` para anular su autorizador global. Para obtener más información, consulta `OverrideApiAuth`. *Valores válidos*: `AWS_IAM``NONE`, o el identificador lógico de cualquier autorizador definido en la AWS SAM plantilla. *Tipo:* cadena *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `InvokeRole` Especifica qué `InvokeRole` utilizar para la autorización de `AWS_IAM`. *Tipo:* cadena *Obligatorio*: no *Valor predeterminado*: `CALLER_CREDENTIALS` *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. *Notas adicionales*: `CALLER_CREDENTIALS` asigna a `arn:aws:iam:::/`, que utiliza las credenciales de la persona que llama para invocar el punto de conexión. `OverrideApiAuth` Especifica como `true` para anular la configuración del autorizador global de su recurso `AWS::Serverless::Api`. Esta propiedad solo es necesaria si usted especifica un autorizador global y utiliza la propiedad `DefinitionBody` de un recurso `AWS::Serverless::Api` para describir su API. Si especificas `OverrideApiAuth` como`true`, AWS SAM anulará tu autorizador global con los valores proporcionados para `ApiKeyRequired``Authorizer`, o. `ResourcePolicy` Por lo tanto, al utilizar `OverrideApiAuth` también se debe especificar al menos una de estas propiedades. Para ver un ejemplo, consulta [Anula un autorizador global cuando se especifique for DefinitionBody AWS::Serverless::Api](#sam-property-function-apifunctionauth--examples--override2). *Tipo*: Booleano *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `ResourcePolicy` Configura la política de recursos para esta ruta en una API. *Tipo:* [ResourcePolicyStatement](sam-property-function-resourcepolicystatement.md) *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. ## Ejemplos ### Autenticación de funciones El siguiente ejemplo especifica la autorización a nivel de función. #### YAML ``` Auth: ApiKeyRequired: true Authorizer: NONE ``` ### Anule un autorizador global para su API de REST de Amazon API Gateway Puedes especificar un autorizador global para su recurso `AWS::Serverless::Api`. A continuación se muestra un ejemplo que configura un autorizador predeterminado global: ``` AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 ... Resources: MyApiWithLambdaRequestAuth: Type: AWS::Serverless::Api Properties: ... Auth: Authorizers: MyLambdaRequestAuth: FunctionArn: !GetAtt MyAuthFn.Arn DefaultAuthorizer: MyLambdaRequestAuth ``` Para anular el autorizador predeterminado de tu AWS Lambda función, puedes `Authorizer` especificarlo como. `NONE` A continuación, se muestra un ejemplo: ``` AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 ... Resources: ... MyFn: Type: AWS::Serverless::Function Properties: ... Events: LambdaRequest: Type: Api Properties: RestApiId: !Ref MyApiWithLambdaRequestAuth Method: GET Auth: Authorizer: NONE ``` ### Anula un autorizador global cuando se especifique for DefinitionBody AWS::Serverless::Api Al utilizar la propiedad `DefinitionBody` para describir el recurso `AWS::Serverless::Api`, el método de anulación anterior no funciona. A continuación se muestra un ejemplo del uso de la propiedad `DefinitionBody` para un recurso `AWS::Serverless::Api`: ``` AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 ... Resources: MyApiWithLambdaRequestAuth: Type: AWS::Serverless::Api Properties: ... DefinitionBody: swagger: 2.0 ... paths: /lambda-request: ... Auth: Authorizers: MyLambdaRequestAuth: FunctionArn: !GetAtt MyAuthFn.Arn DefaultAuthorizer: MyLambdaRequestAuth ``` Para anular el autorizador global, utilice la propiedad `OverrideApiAuth`. El siguiente es un ejemplo que utiliza `OverrideApiAuth` para anular el autorizador global con el valor proporcionado para `Authorizer`: ``` AWSTemplateFormatVersion: '2010-09-09' Transform: AWS::Serverless-2016-10-31 ... Resources: MyApiWithLambdaRequestAuth: Type: AWS::Serverless::Api Properties: ... DefinitionBody: swagger: 2-0 ... paths: /lambda-request: ... Auth: Authorizers: MyLambdaRequestAuth: FunctionArn: !GetAtt MyAuthFn.Arn DefaultAuthorizer: MyLambdaRequestAuth MyAuthFn: Type: AWS::Serverless::Function ... MyFn: Type: AWS::Serverless::Function Properties: ... Events: LambdaRequest: Type: Api Properties: RestApiId: !Ref MyApiWithLambdaRequestAuth Method: GET Auth: Authorizer: NONE OverrideApiAuth: true Path: /lambda-token ``` # ResourcePolicyStatement Configura una política de recursos para todos los métodos y rutas de una API. Para obtener más información sobre las políticas de recursos, consulta [Controlar el acceso a una API con las políticas de recursos de API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-resource-policies.html) en la *Guía para desarrolladores de API Gateway*. ## Sintaxis Para declarar esta entidad en tu plantilla AWS Serverless Application Model (AWS SAM), usa la siguiente sintaxis. ### YAML ``` [AwsAccountBlacklist](#sam-function-resourcepolicystatement-awsaccountblacklist): List [AwsAccountWhitelist](#sam-function-resourcepolicystatement-awsaccountwhitelist): List [CustomStatements](#sam-function-resourcepolicystatement-customstatements): List [IntrinsicVpcBlacklist](#sam-function-resourcepolicystatement-intrinsicvpcblacklist): List [IntrinsicVpcWhitelist](#sam-function-resourcepolicystatement-intrinsicvpcwhitelist): List [IntrinsicVpceBlacklist](#sam-function-resourcepolicystatement-intrinsicvpceblacklist): List [IntrinsicVpceWhitelist](#sam-function-resourcepolicystatement-intrinsicvpcewhitelist): List [IpRangeBlacklist](#sam-function-resourcepolicystatement-iprangeblacklist): List [IpRangeWhitelist](#sam-function-resourcepolicystatement-iprangewhitelist): List [SourceVpcBlacklist](#sam-function-resourcepolicystatement-sourcevpcblacklist): List [SourceVpcWhitelist](#sam-function-resourcepolicystatement-sourcevpcwhitelist): List ``` ## Propiedades `AwsAccountBlacklist` Las AWS cuentas que se van a bloquear. *Tipo*: lista de cadena *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva AWS SAM y no tiene un CloudFormation equivalente. `AwsAccountWhitelist` Las AWS cuentas que se van a permitir. Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista de cadena *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `CustomStatements` Una lista de instrucciones de política de recursos personalizadas para aplicarlas a esta API. Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `IntrinsicVpcBlacklist` La lista de nubes privadas virtuales (VPCs) que se van a bloquear, en la que cada VPC se especifica como referencia, por ejemplo, una [referencia dinámica](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html) o la función `Ref` [intrínseca](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html). Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva AWS SAM y no tiene un CloudFormation equivalente. `IntrinsicVpcWhitelist` La lista de VPCs permitidos, donde cada VPC se especifica como una referencia, como una [referencia dinámica](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html) o la función `Ref` [intrínseca](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html). *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva AWS SAM y no tiene un CloudFormation equivalente. `IntrinsicVpceBlacklist` La lista de puntos de conexión de VPC que se van a bloquear, donde cada punto de conexión de VPC se especifica como referencia, por ejemplo, una [referencia dinámica](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html) o la [función intrínseca `Ref`](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html). *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `IntrinsicVpceWhitelist` La lista de nubes privadas virtuales (VPC) permitidas, donde cada punto de conexión de VPC se especifica como referencia, por ejemplo, una [referencia dinámica](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html) o la [función intrínseca `Ref`](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html). Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `IpRangeBlacklist` Las direcciones IP o los rangos de direcciones que se van a bloquear. Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `IpRangeWhitelist` Las direcciones IP o los rangos de direcciones que se van a permitir. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `SourceVpcBlacklist` La VPC de origen o los puntos de conexión de VPC que se van a bloquear. Los nombres de la VPC de origen deben empezar por `"vpc-"` y los nombres de los puntos de conexión de VPC de origen deben empezar por `"vpce-"`. Para obtener un ejemplo del uso de esta propiedad, consulta la sección Ejemplos al final de esta página. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. `SourceVpcWhitelist` La VPC de origen o los puntos de conexión de VPC que se van a permitir. Los nombres de la VPC de origen deben empezar por `"vpc-"` y los nombres de los puntos de conexión de VPC de origen deben empezar por `"vpce-"`. *Tipo*: lista *Obligatorio*: no *CloudFormation compatibilidad*: esta propiedad es exclusiva de AWS SAM y no tiene un CloudFormation equivalente. ## Ejemplos ### Ejemplo de política de recursos El siguiente ejemplo bloquea dos direcciones IP y una VPC de origen y permite una AWS cuenta. #### YAML ``` Auth: ResourcePolicy: CustomStatements: [{ "Effect": "Allow", "Principal": "*", "Action": "execute-api:Invoke", "Resource": "execute-api:/Prod/GET/pets", "Condition": { "IpAddress": { "aws:SourceIp": "1.2.3.4" } } }] IpRangeBlacklist: - "10.20.30.40" - "1.2.3.4" SourceVpcBlacklist: - "vpce-1a2b3c4d" AwsAccountWhitelist: - "111122223333" IntrinsicVpcBlacklist: - "{{resolve:ssm:SomeVPCReference:1}}" - !Ref MyVPC IntrinsicVpceWhitelist: - "{{resolve:ssm:SomeVPCEReference:1}}" - !Ref MyVPCE ```