Controlla l'accesso alle API REST utilizzando i pool di utenti di Amazon Cognito come autorizzatore - Amazon API Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla l'accesso alle API REST utilizzando i pool di utenti di Amazon Cognito come autorizzatore

In alternativa all'utilizzo di ruoli e policy IAM o autorizzazioni Lambda (note in precedenza come autorizzazioni ad hoc), puoi utilizzare un pool di utenti di Amazon Cognito per controllare chi può accedere all'API in Amazon API Gateway.

Per usare un pool di utenti di Amazon Cognito con l'API, devi prima creare l'autorizzazione di tipo COGNITO_USER_POOLS e quindi configurare un metodo API per usare tale autorizzazione. Una volta distribuita l'API, il client deve innanzitutto registrare l'utente nel pool di utenti, ottenere un token di identità o di accesso per l'utente e quindi chiamare il metodo API con uno dei token, che sono in genere impostati sull'intestazione Authorization della richiesta. La chiamata API riesce solo se viene fornito il token necessario e se questo è valido. In caso contrario, il client non è autorizzato ad effettuare la chiamata perché non ha credenziali che è stato possibile autorizzare.

Il token di identità viene usato per autorizzare chiamate API in base alle richieste di identità dell'utente connesso. Il token di accesso viene usato per autorizzare chiamate API in base agli ambiti personalizzati di risorse con accesso protetto specificate. Per ulteriori informazioni, consulta Utilizzo di token con pool di utenti e la pagina relativa a server di risorse e ambiti personalizzati.

Per creare e configurare un pool di utenti di Amazon Cognito per l'API, esegui le attività seguenti:

  • Usa la console Amazon Cognito, CLI/SDK o API per creare un pool di utenti o usane uno di proprietà di un altro account. AWS

  • Usa la console, l'interfaccia a riga di comando/SDK o l'API di API Gateway, per creare autorizzazioni API Gateway con il pool di utenti scelto.

  • Usa la console, l'interfaccia a riga di comando/SDK o l'API di API Gateway, per abilitare le autorizzazioni per i metodi API selezionati.

Per chiamare qualsiasi metodo API con un pool di utenti abilitato, i client API eseguono le attività seguenti:

  • Utilizzano l'interfaccia a riga di comando/SDK o l'API di Amazon Cognito per fare accedere un utente al pool di utenti scelto e ottenere un token di identità o di accesso. Per ulteriori informazioni sull'utilizzo degli SDK, consulta Esempi di codice per Amazon Cognito AWS utilizzando gli SDK.

  • Utilizzano un framework specifico del client per chiamare l'API di API Gateway distribuita e specificare il token appropriato nell'intestazione Authorization.

In quanto sviluppatore dell'API, devi fornire agli sviluppatori client l'ID pool di utenti, un ID client e possibilmente i segreti client definiti come parte del pool di utenti.

Nota

Per permettere a un utente di accedere usando credenziali Amazon Cognito e anche di ottenere credenziali temporanee da usare con le autorizzazioni di un ruolo IAM, usa identità federate di Amazon Cognito. Per ogni metodo HTTP dell'endpoint della risorsa API, imposta il tipo di autorizzazione, la categoria Method Execution, su AWS_IAM.

In questa sezione descriveremo come creare un pool di utenti, come integrare un'API di API Gateway con il pool di utenti e come richiamare un'API integrata con il pool di utenti.

Argomenti