翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ApiFunctionAuth
特定の API、パス、およびメソッドに対して、イベントレベルで認可を設定します。
## 構文
AWS Serverless Application Model (AWS SAM) テンプレートでこのエンティティを宣言するには、次の構文を使用します。
### YAML
```
[ApiKeyRequired](#sam-function-apifunctionauth-apikeyrequired): Boolean
[AuthorizationScopes](#sam-function-apifunctionauth-authorizationscopes): List
[Authorizer](#sam-function-apifunctionauth-authorizer): String
[InvokeRole](#sam-function-apifunctionauth-invokerole): String
OverrideApiAuth: Boolean
[ResourcePolicy](#sam-function-apifunctionauth-resourcepolicy): ResourcePolicyStatement
```
## プロパティ
`ApiKeyRequired`
この API、パス、およびメソッドの API キーが必要です。
型: ブール
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に AWS SAM 固有であり、 CloudFormation 同等のものはありません。
`AuthorizationScopes`
この API、パス、およびメソッドに適用する認可スコープです。
指定するスコープは、`DefaultAuthorizer` プロパティが適用するスコープ (指定されている場合) を上書きします。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に AWS SAM 固有であり、 CloudFormation 同等のものはありません。
`Authorizer`
特定の関数用の `Authorizer` です。
`AWS::Serverless::Api` リソースにグローバルオーソライザーが指定されている場合は、`Authorizer` を `NONE` に設定することでオーソライザーをオーバーライドできます。例については、[Amazon API Gateway REST API のグローバルオーソライザーをオーバーライドする](#sam-property-function-apifunctionauth--examples--override)を参照してください。
`AWS::Serverless::Api` リソースの `DefinitionBody` プロパティを使用して API を記述する場合は、`Authorizer` で `OverrideApiAuth` を使用してグローバルオーソライザーをオーバーライドする必要があります。詳細については「`OverrideApiAuth`」を参照してください。
*有効な値*: テンプレートで定義されているオーソライザーの`AWS_IAM``NONE`論理 ID AWS SAM 。
*タイプ*: 文字列
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に AWS SAM 固有であり、 CloudFormation 同等のプロパティはありません。
`InvokeRole`
`AWS_IAM` 認可に使用する `InvokeRole` を指定します。
*タイプ*: 文字列
*必須:* いいえ
*デフォルト*: `CALLER_CREDENTIALS`
*CloudFormation 互換性*: このプロパティは に AWS SAM 固有であり、 CloudFormation 同等のものはありません。
*追加のメモ*: `CALLER_CREDENTIALS` は `arn:aws:iam:::/` にマップします。これは、発信者の認証情報を使用してエンドポイントを呼び出します。
`OverrideApiAuth`
`true` リソースのグローバルオーソライザー設定をオーバーライドするには、`AWS::Serverless::Api` を指定します。このプロパティは、グローバルオーソライザーを指定し、`AWS::Serverless::Api` リソースの `DefinitionBody` プロパティを使用して API を記述する場合にのみ必要です。
`OverrideApiAuth` として を指定すると`true`、 AWS SAM は `ApiKeyRequired`、、`Authorizer`または に指定された値でグローバルオーソライザーを上書きします`ResourcePolicy`。したがって、`OverrideApiAuth` を使用するときには、これらのプロパティを少なくとも 1 つ指定する必要もあります。例については、[AWS:: Serverless:: Apiの DefinitionBody が指定されている場合にグローバルオーソライザーをオーバーライドする](#sam-property-function-apifunctionauth--examples--override2)を参照してください。
型: ブール
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`ResourcePolicy`
この API のパスのためのリソースポリシーを設定します。
*タイプ*: [ResourcePolicyStatement](sam-property-function-resourcepolicystatement.md)
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に AWS SAM 固有であり、 CloudFormation 同等のものはありません。
## 例
### Function-Auth
以下の例は、関数レベルで認可を指定します。
#### YAML
```
Auth:
ApiKeyRequired: true
Authorizer: NONE
```
### Amazon API Gateway REST API のグローバルオーソライザーをオーバーライドする
`AWS::Serverless::Api` リソースにグローバルオーソライザーを指定できます。以下は、デフォルトのグローバルオーソライザーの設定例です。
```
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
...
Resources:
MyApiWithLambdaRequestAuth:
Type: AWS::Serverless::Api
Properties:
...
Auth:
Authorizers:
MyLambdaRequestAuth:
FunctionArn: !GetAtt MyAuthFn.Arn
DefaultAuthorizer: MyLambdaRequestAuth
```
AWS Lambda 関数のデフォルトのオーソライザーを上書きするには、 を `Authorizer`として指定します`NONE`。以下に例を示します。
```
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
...
Resources:
...
MyFn:
Type: AWS::Serverless::Function
Properties:
...
Events:
LambdaRequest:
Type: Api
Properties:
RestApiId: !Ref MyApiWithLambdaRequestAuth
Method: GET
Auth:
Authorizer: NONE
```
### AWS:: Serverless:: Apiの DefinitionBody が指定されている場合にグローバルオーソライザーをオーバーライドする
`DefinitionBody` プロパティを使用して `AWS::Serverless::Api` リソースを記述する場合、以前のオーバーライドメソッドは機能しません。以下は、`AWS::Serverless::Api` リソースの `DefinitionBody` プロパティを使用する例です。
```
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
...
Resources:
MyApiWithLambdaRequestAuth:
Type: AWS::Serverless::Api
Properties:
...
DefinitionBody:
swagger: 2.0
...
paths:
/lambda-request:
...
Auth:
Authorizers:
MyLambdaRequestAuth:
FunctionArn: !GetAtt MyAuthFn.Arn
DefaultAuthorizer: MyLambdaRequestAuth
```
グローバルオーソライザーをオーバーライドするには、`OverrideApiAuth` プロパティを使用します。以下は、`OverrideApiAuth` を使用してグローバルオーソライザーを `Authorizer` に指定された値でオーバーライドする例です。
```
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
...
Resources:
MyApiWithLambdaRequestAuth:
Type: AWS::Serverless::Api
Properties:
...
DefinitionBody:
swagger: 2-0
...
paths:
/lambda-request:
...
Auth:
Authorizers:
MyLambdaRequestAuth:
FunctionArn: !GetAtt MyAuthFn.Arn
DefaultAuthorizer: MyLambdaRequestAuth
MyAuthFn:
Type: AWS::Serverless::Function
...
MyFn:
Type: AWS::Serverless::Function
Properties:
...
Events:
LambdaRequest:
Type: Api
Properties:
RestApiId: !Ref MyApiWithLambdaRequestAuth
Method: GET
Auth:
Authorizer: NONE
OverrideApiAuth: true
Path: /lambda-token
```
# ResourcePolicyStatement
API 上のすべてのメソッドとパスのリソースポリシーを設定します。リソースポリシーの詳細については、*API Gateway デベロッパーガイド*の「[API Gateway リソースポリシーを使用して API へのアクセスを制御する](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-resource-policies.html)」を参照してください。
## 構文
AWS Serverless Application Model (AWS SAM) テンプレートでこのエンティティを宣言するには、次の構文を使用します。
### YAML
```
[AwsAccountBlacklist](#sam-function-resourcepolicystatement-awsaccountblacklist): List
[AwsAccountWhitelist](#sam-function-resourcepolicystatement-awsaccountwhitelist): List
[CustomStatements](#sam-function-resourcepolicystatement-customstatements): List
[IntrinsicVpcBlacklist](#sam-function-resourcepolicystatement-intrinsicvpcblacklist): List
[IntrinsicVpcWhitelist](#sam-function-resourcepolicystatement-intrinsicvpcwhitelist): List
[IntrinsicVpceBlacklist](#sam-function-resourcepolicystatement-intrinsicvpceblacklist): List
[IntrinsicVpceWhitelist](#sam-function-resourcepolicystatement-intrinsicvpcewhitelist): List
[IpRangeBlacklist](#sam-function-resourcepolicystatement-iprangeblacklist): List
[IpRangeWhitelist](#sam-function-resourcepolicystatement-iprangewhitelist): List
[SourceVpcBlacklist](#sam-function-resourcepolicystatement-sourcevpcblacklist): List
[SourceVpcWhitelist](#sam-function-resourcepolicystatement-sourcevpcwhitelist): List
```
## プロパティ
`AwsAccountBlacklist`
ブロックする AWS アカウント。
型: 文字列のリスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`AwsAccountWhitelist`
許可する AWS アカウント。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
型: 文字列のリスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`CustomStatements`
この API に適用するカスタムリソースポリシーステートメントのリストです。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`IntrinsicVpcBlacklist`
ブロックする仮想プライベートクラウド (VPC) のリストで、各 VPC が[動的参照](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)または `Ref` [組み込み関数](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)などのリファレンスとして指定されます。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`IntrinsicVpcWhitelist`
許可する VPC のリストで、各 VPC が[動的参照](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)または `Ref` [組み込み関数](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)などのリファレンスとして指定されます。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`IntrinsicVpceBlacklist`
ブロックする VPC エンドポイントのリストで、各 VPC エンドポイントが[動的参照](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)または `Ref` [組み込み関数](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)などのリファレンスとして指定されます。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のプロパティはありません。
`IntrinsicVpceWhitelist`
許可する VPC エンドポイントのリストで、各 VPC エンドポイントが[動的参照](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)または `Ref` [組み込み関数](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-ref.html)などのリファレンスとして指定されます。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`IpRangeBlacklist`
ブロックする IP アドレスまたはアドレス範囲です。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`IpRangeWhitelist`
許可する IP アドレスまたはアドレス範囲です。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`SourceVpcBlacklist`
ブロックするソース VPC またはソース VPC エンドポイントです。ソース VPC 名は `"vpc-"` で始まり、ソース VPC エンドポイント名は `"vpce-"` で始まる必要があります。このプロパティの使用例については、このページの下部にある「例」セクションを参照してください。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
`SourceVpcWhitelist`
許可するソース VPC またはソース VPC エンドポイントです。ソース VPC 名は `"vpc-"` で始まり、ソース VPC エンドポイント名は `"vpce-"` で始まる必要があります。
*タイプ*: リスト
*必須:* いいえ
*CloudFormation 互換性*: このプロパティは に固有 AWS SAM であり、 CloudFormation 同等のものはありません。
## 例
### リソースポリシーの例
次の例では、2 つの IP アドレスとソース VPC をブロックし、 AWS アカウントを許可します。
#### YAML
```
Auth:
ResourcePolicy:
CustomStatements: [{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "execute-api:/Prod/GET/pets",
"Condition": {
"IpAddress": {
"aws:SourceIp": "1.2.3.4"
}
}
}]
IpRangeBlacklist:
- "10.20.30.40"
- "1.2.3.4"
SourceVpcBlacklist:
- "vpce-1a2b3c4d"
AwsAccountWhitelist:
- "111122223333"
IntrinsicVpcBlacklist:
- "{{resolve:ssm:SomeVPCReference:1}}"
- !Ref MyVPC
IntrinsicVpceWhitelist:
- "{{resolve:ssm:SomeVPCEReference:1}}"
- !Ref MyVPCE
```