APIG +联合身份-细粒度访问控制?
APIG +联合身份-细粒度访问控制?
提问于 2018-02-24 19:58:56
我正在寻找最好的方法来控制对API不同部分的访问。api是通过联合身份调用的,这些联合身份获得映射到特定IAM角色的临时凭据(STS)。这确保了只有登录的用户才能调用API,这很棒。然而,我想以更细粒度的方式控制访问,例如与用户管理相关的API端点。目前,我使用lambda函数和一个发电机数据库表来实现这一点,但在每个lambda函数中拖动授权部分,甚至只为此目的创建lambda函数似乎很乏味。我查看了自定义授权器,但没有找到关于如何在其中验证STS令牌的文档,实际上我希望避免处理它。
那么,有没有一种优雅的方式可以按资源/方法进行授权,同时仍然使用AWS_IAM作为身份验证的授权者?
回答 1
Stack Overflow用户
发布于 2018-02-25 02:07:07
如果您在API Gateway使用AWS_IAM授权程序,提供细粒度访问的唯一方法是使用附加到STS假定角色的IAM策略。
注意:不能通过使用IAM凭证的API Gateway invoke将IAM策略传递给Lambda函数。
但是,您可以在API Gateway集成请求中使用Invoke with Caller credentials属性来验证在由STS承担IAM角色中定义的任何API Gateway访问策略。通过这种方式,您可以定义授权的一部分,您可以在其中定义所承担的角色允许哪些API网关端点和HTTP方法。
如果您需要定义对象级权限,并向用户授予通过API Gateway端点公开的单个对象的访问权限,则需要在Lambda中处理。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/48962598
复制相关文章
相似问题
腾讯云开发者
