REST API를 위한 Amazon Cognito 사용자 풀 권한 부여자를 생성할 수 있는 권한 획득
Amazon Cognito 사용자 풀이 포함된 권한 부여자를 생성하려면 선택한 Amazon Cognito 사용자 풀이 포함된 권한 부여자를 생성하거나 업데이트할 수 있는 Allow 권한이 있어야 합니다. 다음 IAM 정책 문서는 그러한 권한의 예시를 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "apigateway:POST" ], "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers", "Condition": { "ArnLike": { "apigateway:CognitoUserPoolProviderArn": [ "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO", "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN" ] } } }, { "Effect": "Allow", "Action": [ "apigateway:PATCH" ], "Resource": "arn:aws:apigateway:*::/restapis/*/authorizers/*", "Condition": { "ArnLike": { "apigateway:CognitoUserPoolProviderArn": [ "arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1_aD06NQmjO", "arn:aws:cognito-idp:us-east-1:234567890123:userpool/us-east-1_xJ1MQtPEN" ] } } } ] }
정책은 소속 IAM 그룹 또는 할당된 IAM 역할에 연결되어야 합니다.
이전 정책 문서에서 apigateway:POST 작업은 새로운 권한 부여자를 생성하는 것이고, apigateway:PATCH 작업은 기존 권한 부여자를 업데이트하는 것입니다. Resource 값의 처음 2개의 와일드카드(*) 문자를 각각 재정의함으로써 정책을 특정 리전 또는 특정 API로 제한할 수 있습니다.
여기에 사용된 Condition 절은 Allowed 권한을 지정된 사용자 풀로 제한합니다. Condition 절이 존재하면 조건에 일치하지 않는 모든 사용자 풀에 대한 액세스가 거부됩니다. 권한에 Condition 절이 없으면 모든 사용자 풀에 대한 액세스가 허용됩니다.
Condition 절을 설정하는 옵션은 다음과 같습니다.
-
ArnLike또는ArnEquals조건 표현식을 설정하여 특정 사용자 풀만을 보유한COGNITO_USER_POOLS권한 부여자 생성 또는 업데이트를 허용할 수 있습니다. -
ArnNotLike또는ArnNotEquals조건식을, 조건식에서 지정되지 않은 모든 사용자 풀이 포함된COGNITO_USER_POOLS권한 부여자 생성 또는 업데이트를 허용하도록 설정할 수 있습니다. -
Condition절을 생략하여 모든 AWS 계정 및 모든 리전의 모든 사용자 풀이 포함된COGNITO_USER_POOLS권한 부여자 생성 또는 업데이트를 허용할 수 있습니다.
Amazon 리소스 이름(ARN) 조건식에 대한 자세한 내용은 Amazon 리소스 이름 조건 연산자 단원을 참조하세요. 예에 나온 것처럼 apigateway:CognitoUserPoolProviderArn은 COGNITO_USER_POOLS 유형의 API Gateway 권한 부여자와 함께 사용할 수 있거나 사용할 수 없는 COGNITO_USER_POOLS 사용자 풀의 ARN 목록입니다.
