使用 IAM 授權控制對 WebSocket API 的存取 - Amazon API Gateway

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM 授權控制對 WebSocket API 的存取

WebSocket API 及 REST API 具備類似的 IAM 授權,除了以下例外:

  • 除了現有動作 (execute-apiManageConnections),Invoke 動作也支援 InvalidateCacheManageConnections 會控制 @connections API 的存取。

  • WebSocket 路由使用不同的 ARN 格式:

    arn:aws:execute-api:region:account-id:api-id/stage-name/route-key

  • @connections API 使用的 ARN 格式與 REST API 相同:

    arn:aws:execute-api:region:account-id:api-id/stage-name/POST/@connections
重要

使用 IAM 授權時,您必須使用第 4 版簽署程序 (SigV4) 來簽署請求。

例如,您可針對用戶端設定下列政策。除了 Invoke 階段內的秘密路由,此範例允許所有人針對所有路由傳送訊息 (prod),並防止所有人在任何階段回傳訊息給已連線的用戶端 (ManageConnections)。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:111122223333:api-id/prod/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:111122223333:api-id/prod/secret"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "execute-api:ManageConnections"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:111122223333:api-id/*"
            ]
        }
    ]
}