Controllo dell'accesso in base agli attributi di un'identità con Autorizzazioni verificate - Amazon API Gateway
Creazione di un sistema di autorizzazione Lambda con Autorizzazioni verificateChiamata di un sistema di autorizzazione Lambda con Autorizzazioni verificate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso in base agli attributi di un'identità con Autorizzazioni verificate

Utilizza Autorizzazioni verificate da Amazon per controllare l'accesso alla tua API di Gateway API. Quando utilizzi Gateway API con Autorizzazioni verificate, Autorizzazioni verificate crea un sistema di autorizzazione Lambda che utilizza decisioni di autorizzazione granulari per controllare l'accesso alla tua API. Autorizzazioni verificate autorizza i chiamanti sulla base di uno schema di archivio di policy e di policy che utilizzano il linguaggio di policy Cedar per definire autorizzazioni granulari per gli utenti dell'applicazione. Per ulteriori informazioni, consulta Creare un archivio di policy con un'API e un provider di identità connessi nella Guida per l'utente di Autorizzazioni verificate da Amazon.

Autorizzazioni verificate supporta i pool di utenti di Amazon Cognito o i provider di identità OpenID Connect (OIDC) come origini di identità. Autorizzazioni verificate presuppone che il principale sia stato precedentemente identificato e autenticato. Le autorizzazioni verificate sono supportate solo per REST regionali e ottimizzate per i dispositivi periferici. APIs

Creazione di un sistema di autorizzazione Lambda con Autorizzazioni verificate

Autorizzazioni verificate crea un sistema di autorizzazione Lambda per determinare se un principale è autorizzato a eseguire un'operazione sulla tua API. La policy Cedar utilizzata da Autorizzazioni verificate per eseguire le sue attività di autorizzazione viene creata da te.

Di seguito è riportato un esempio di policy Cedar che consente l'accesso per invocare un'API in base al pool di utenti di Amazon Cognitous-east-1_ABC1234, per il gruppo developer sulla risorsa GET /users di un'API. Autorizzazioni verificate determina l'appartenenza al gruppo analizzando l'identità del chiamante nel token di connessione. 

permit(
  principal in MyAPI::UserGroup::"us-east-1_ABC1234|developer",
  action in [ MyAPI::Action::"get /users" ],
  resource
  );

Facoltativamente, Autorizzazioni verificate può collegare il sistema di autorizzazione ai metodi dell'API. Nelle fasi di produzione dell'API, è consigliabile non consentire ad Autorizzazioni verificate di collegare automaticamente il sistema di autorizzazione.

L'elenco seguente mostra come configurare Autorizzazioni verificate per collegare o non collegare il sistema di autorizzazione Lambda alla richiesta di metodo dei metodi dell'API.

Sistema di autorizzazione collegato automaticamente (AWS Management Console)

Quando scegli Crea archivio di policy nella console Autorizzazioni verificate, nella pagina Implementa integrazione app scegli Ora.

Sistema di autorizzazione non collegato automaticamente (AWS Management Console)

Quando scegli Crea archivio di policy nella console Autorizzazioni verificate, nella pagina Implementa integrazione app scegli Più tardi.

Autorizzazioni verificate crea comunque automaticamente un sistema di autorizzazione Lambda. Il sistema di autorizzazione Lambda inizia con AVPAuthorizerLambda-. Per ulteriori indicazioni su come collegare il sistema di autorizzazione per un metodo, consulta Configurazione di un metodo per utilizzare un sistema di autorizzazione Lambda (console).

Sistema di autorizzazione collegato automaticamente (AWS CloudFormation)

Nel AWS CloudFormation modello generato da Autorizzazioni verificate, nella sezione, imposta su. Conditions "Ref": "shouldAttachAuthorizer" true

Sistema di autorizzazione non collegato automaticamente (AWS CloudFormation)

Nel AWS CloudFormation modello generato da Autorizzazioni verificate, nella sezione, imposta su. Conditions "Ref": "shouldAttachAuthorizer" false

Autorizzazioni verificate crea comunque automaticamente un sistema di autorizzazione Lambda. Il sistema di autorizzazione Lambda inizia con AVPAuthorizerLambda-. Per ulteriori indicazioni su come collegare il sistema di autorizzazione per un metodo, consulta Configurazione di un metodo per utilizzare un sistema di autorizzazione Lambda (AWS CLI).

Chiamata di un sistema di autorizzazione Lambda con Autorizzazioni verificate

Puoi chiamare il tuo sistema di autorizzazione Lambda specificando un'identità o un token di accesso nell'intestazione Authorization. Per ulteriori informazioni, consulta Chiamata di un'API con il sistema di autorizzazione Lambda di Gateway API.

Gateway API memorizza nella cache la policy restituita dal sistema di autorizzazione Lambda per 120 secondi. È possibile modificare il TTL nella console Gateway API o tramite AWS CLI.