本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立授權方
您可以使用 [CreateAuthorizer API](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateAuthorizer.html) 建立授權方。下列範例描述此命令。
```
aws iot create-authorizer
--authorizer-name MyAuthorizer
--authorizer-function-arn arn:aws:lambda:us-west-2::function:MyAuthorizerFunction //The ARN of the Lambda function.
[--token-key-name MyAuthorizerToken //The key used to extract the token from headers.
[--token-signing-public-keys FirstKey=
"-----BEGIN PUBLIC KEY-----
[...insert your public key here...]
-----END PUBLIC KEY-----"
[--status ACTIVE]
[--tags ]
[--signing-disabled | --no-signing-disabled]
```
您可以使用 `signing-disabled` 參數,在每次叫用授權方時選擇退出簽章驗證。除非您必須停用簽署,否則強烈建議您不要這樣做。簽章驗證可保護您防範未知裝置過度叫用 Lambda 函數。在建立授權方之後,您無法更新授權方的 `signing-disabled` 狀態。若要變更此行為,您必須使用不同的 `signing-disabled` 參數值建立另一個自訂授權方。
如果您已停用簽署,`tokenKeyName` 和 `tokenSigningPublicKeys` 參數的值是選用值。如果啟用簽署,則它們是必要值。
建立 Lambda 函數和自訂授權方之後,您必須明確授予 AWS IoT Core 服務許可,才能代表您叫用函數。 您可以使用下列命令來執行此操作。
**注意**
預設 IoT 端點可能不支援搭配 Lambda 函數使用自訂授權方。反之,您可以使用網域組態來定義新的端點,然後為自訂授權方指定該端點。
```
aws lambda add-permission --function-name
--principal iot.amazonaws.com --source-arn
--statement-id Id-123 --action "lambda:InvokeFunction"
```