AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie aktiviere ich die IAM-Authentifizierung für REST-APIs in API Gateway?

Lesedauer: 4 Minute

Ich möchte die AWS Identity and Access Management (IAM)-Authentifizierung für den Zugriff auf meine REST-API in Amazon API Gateway (API Gateway) aktivieren.

Kurzbeschreibung

Aktiviere die IAM-Authentifizierung für eine API-Methode in der API-Gateway-Konsole. Verwende dann IAM- und Ressourcenrichtlinien, um den Benutzern deiner APIs Berechtigungen zuzuweisen.

Weitere Informationen zu den verschiedenen Sicherheitsfunktionen, die für API Gateway verfügbar sind, findest du unter Steuern und Verwalten des Zugriffs auf eine REST-API in API Gateway.

Lösung

Aktivieren der IAM-Authentifizierung für deine REST-API

Wähle in der API-Gateway-Konsole den Namen deiner API aus.
Wähle im Bereich Ressourcen eine Methode (z. B. GET oder POST) aus, für die du die IAM-Authentifizierung aktivieren möchtest.
Wähle im Bereich Methodenausführung die Option Methodenanfrage aus.
Wähle unter Einstellungen für Autorisierung das Stiftsymbol (Bearbeiten) aus. Wähle AWS_IAM aus der Dropdownliste und anschließend das Häkchensymbol (Aktualisieren) aus.
(Optional) Wiederhole die Schritte 2 bis 4 für jede API-Methode, für die du die IAM-Authentifizierung aktivieren möchtest.
Stelle deine API bereit, damit die Änderungen wirksam werden.
Kopiere im Bereich Stufen-Editor die Aufruf-URL. Du verwendest die Aufruf-URL später zum Testen.

Weitere Informationen findest du unter Einrichten einer Methode mithilfe der API-Gateway-Konsole. Siehe auch: Erhalten der Aufruf-URL einer API in der API-Gateway-Konsole.

Gewähren einer API-Autorisierung für eine Gruppe von IAM-Benutzern

Lege die Berechtigungen fest, die deine API-Benutzer erhalten sollen. Weitere Informationen findest du unter Steuern des Zugriffs auf eine API mit IAM-Berechtigungen.
Erstelle eine IAM-Richtlinie, die die erforderlichen Berechtigungen enthält. Beispiele und Anleitungen zur Formatierung findest du unter den folgenden Links:
Steuern des Zugriffs für den Aufruf einer API
Beispiele für IAM-Richtlinien für API-Ausführungsberechtigungen
Beispiele für identitätsbasierte Amazon-API-Gateway-Richtlinien
Hinweis: Um die Testanweisungen am Ende dieses Artikels auszuführen, musst du Aufrufberechtigungen zulassen.
Hänge deine IAM-Richtlinie einer IAM-Gruppe an, indem du einen der folgenden Schritte ausführst:
Hänge die Richtlinie an eine vorhandene IAM-Gruppe an.
-oder-
Hänge die Richtlinie an, wenn du eine neue IAM-Gruppe erstellst.

Weitere Informationen findest du unter Erstellen einer Richtlinie und Anhängen dieser an einen IAM-Benutzer.

Hinweis: Es ist eine bewährte Methode, Zugriff auf IAM-Gruppenebene zu gewähren.

(Optional) Konfigurieren einer API-Gateway-Ressourcenrichtlinie

Du kannst auch API-Gateway-Ressourcenrichtlinien (ressourcenbasierte Berechtigungen) zusammen mit IAM-Richtlinien (identitätsbasierte Berechtigungen) verwenden, um den Zugriff auf deine API zu verwalten. Weitere Informationen findest du unter IAM-Authentifizierung und Ressourcenrichtlinie und Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Wichtig: Wenn du den Zugriff auf deine API mit einem IAM-Richtlinientyp verweigerst und mit einem anderen Richtlinientyp zulässt, wird der Zugriff verweigert. Weitere Informationen findest du in den Ergebnistabellen zur Richtlinienauswertung.

Senden einer Anfrage, um die Authentifizierungseinstellungen zu testen

Verwende die Postman-App, um mithilfe der Methode, für die du die IAM-Authentifizierung aktiviert hast, eine Anfrage an deine API-Ressource zu senden.

Hinweis: Verwende den Signaturprozess von Signature Version 4, um Anfragen manuell zu authentifizieren, die mit einem anderen Tool oder einer anderen Umgebung an API Gateway gesendet werden. Weitere Informationen findest du unter Signierungsanfragen.

Gehe in Postman auf der Registerkarte Autorisierung wie folgt vor:
Wähle für Typ die Option **AWS Signature aus.
Gib für AccessKey und SecretKey die IAM-Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel für einen IAM-Benutzer ein. Der IAM-Benutzer muss in der IAM-Gruppe sein, die Zugriff auf deine API hat.
Füge in das Feld Anforderungs-URL eingeben die Aufruf-URL deiner API ein. Wenn du die IAM-Authentifizierung für eine Methode für eine bestimmte API-Ressource aktiviert hast, füge den Ressourcennamen an das Ende der Aufruf-URL an.

**Hinweis:**Die vollständige Anforderungs-URL mit dem Ressourcennamen sieht wie folgt aus: https://restApiId.execute-api.region.amazonaws.com/stageName/resourceName

Eine authentifizierte Anfrage gibt den Antwortcode 200 OK zurück. Eine unautorisierte Anfrage führt zur Fehlermeldung Fehlendes Authentifizierungstoken und zum Antwortcode 403 Forbidden.

Relevante Informationen

Wie sich API-Gateway-Ressourcenrichtlinien auf den Autorisierungs-Workflow auswirken

Themen: Serverless Front-End Web & Mobile Networking & Content Delivery
Tags: Amazon API Gateway
Sprache: Deutsch

Relevanter Inhalt

Wie aktiviere ich CloudWatch-Protokolle zur Problembehebung meiner API-Gateway-REST-API oder WebSocket-API?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich das Problem mit fehlenden CloudWatch-Protokollen für API Gateway-REST-APIs?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie kann ich eine kontoübergreifende IAM-Autorisierung für API Gateway-HTTP-APIs bereitstellen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie richte ich die Zugriffsprotokollierung für API Gateway ein?
AWS OFFICIALAktualisiert vor einem Jahr