如何使用自定义授权器lambda函数生成的策略单据?
假设我有这样一个用例,其中允许用户从某些dynamodb表中读取数据,并在S3中拥有getObject和putObject权限。
我能够建立以下项目: 1.根据身份用户池对用户进行身份验证2.成功身份验证时,将访问令牌发送到API网关3.自定义身份验证蓝图用于验证和生成策略文档
现在我不能理解的是,我应该在哪里以及如何提到table/S3权限细节。
我浏览了以下文档/博客
https://aws.amazon.com/blogs/compute/introducing-custom-authorizers-in-amazon-api-gateway/
http://docs.aws.amazon.com/apigateway/latest/developerguide/use-custom-authorizer.html
但是,我仍然对如何以及何时使用由自定义auth lambda创建的策略文档感到困惑。如果能澄清这个流程,我们将不胜感激。
回答 1
Stack Overflow用户
发布于 2016-08-02 05:16:44
实际上,我们刚刚推出了对Cognito用户池的本机支持,这将验证Cognito提供的JWT。然而,这只会做一个简单的允许/拒绝决定(如果令牌有效则允许),因此没有细粒度权限的概念。
对于自定义授权器,您生成的策略将被缓存,并可应用于整个RestApi (或使用同一授权器的所有方法)。该策略允许您设置细粒度权限,就像设置IAM用户/角色一样。
一种用例是基于组的权限设置,其中自定义授权器确定调用者是谁并分配一个组策略(例如,管理员、只读、阻止等)在对具有该令牌的第一API调用的响应中。这些策略将在API中的特定资源/方法上设置细粒度权限。然后,在对中共享同一授权者的任何其他资源/方法的后续API调用中,将应用组策略。
所以好处是:
与用户关联的
- 细粒度权限策略,如IAM用户/角色。
- 缓存整个RestApi的策略可减少Lambda调用(成本和延迟优势)。
https://stackoverflow.com/questions/38622633
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号