Configurar o autorizador do Amazon Cognito entre contas para uma API REST usando o console do API Gateway - Amazon API Gateway

Configurar o autorizador do Amazon Cognito entre contas para uma API REST usando o console do API Gateway

Agora você também pode usar um grupo de usuários do Amazon Cognito de uma conta diferente da AWS como seu autorizador de API. O grupo de usuários do Amazon Cognito pode usar estratégias de autenticação de token de portador, como OAuth ou SAML. Isso facilita o gerenciamento central e o compartilhamento de um autorizador central do grupo de usuários do Amazon Cognito em várias APIs do API Gateway.

Nesta seção, mostramos como configurar um grupo de usuários do Amazon Cognito entre contas usando o console do Amazon API Gateway.

Essas instruções pressupõem que você já tenha uma API do API Gateway em uma conta da AWS e um grupo de usuários do Amazon Cognito em outra conta.

Configurar o autorizador do Amazon Cognito entre contas para uma API REST

Faça login no console do Amazon API Gateway na conta que contém a sua API e faça o seguinte:

  1. Crie uma nova API ou selecione uma API existente no API Gateway.

  2. No painel de navegação principal, selecione Autorizadores.

  3. Selecione Criar autorizador.

  4. Para configurar o novo autorizador para usar um grupo de usuários, faça o seguinte:

    1. Em Nome do autorizador, insira um nome.

    2. Em Tipo de autorizador, selecione Cognito.

    3. Em Grupo de usuários do Cognito, copie e cole o ARN completo do grupo de usuários de sua segunda conta.

      nota

      No console do Amazon Cognito é possível encontrar o ARN do grupo de usuários no campo Pool ARN (ARN do grupo) do painel General Settings (Configurações gerais).

    4. Em Origem do token, insira Authorization como o nome de cabeçalho para passar o token de identidade ou acesso que é retornado pelo Amazon Cognito quando um usuário faz login com êxito.

    5. (Opcional) Insira uma expressão regular no campo Validação do token para validar o campo aud (público) do token de identidade antes de a solicitação ser autorizada com o Amazon Cognito. Observe que, ao usar um token de acesso, essa validação rejeita a solicitação porque o token de acesso não contém o campo aud.

    6. Selecione Criar autorizador.