Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
API Gateway REST API に対する IAM 認証を有効にする方法を教えてください。
Amazon API Gateway (API Gateway) REST API にアクセスするための AWS Identity and Access Management (IAM) 認証を有効にしたいです。
簡単な説明
API Gateway コンソールで API メソッドの IAM 認証を有効にします。次に、IAM ポリシーとリソースポリシーを使用して API のユーザーに対してアクセス許可を指定します。
API Gateway で使用できるさまざまなセキュリティ機能の詳細については、「Controlling and managing access to a REST API in API Gateway」を参照してください。
解決策
REST API で IAM 認証を有効化する
- API Gateway コンソールで該当する API の名前を選択します。
- **[リソース]**ペインで IAM 認証を有効にするメソッド (GET や POSTなど) を選択します。
- [メソッドの実行] ペインで [メソッドリクエスト] を選択します。
- [設定 ** の [認可] で、鉛筆アイコン ([編集]) を選択します。次に、ドロップダウンリストから AWS_IAM を選択し、チェックマークアイコン ([更新]**) を選択します。
- (オプション) IAM 認証を有効化する API メソッドごとに、ステップ 2~4 を繰り返します。
- API をデプロイして変更を反映させます。
- **[ステージエディタ]**ペインで 呼び出し URL をコピーします。 この呼び出し URL は、後でテストに使用します。
詳細については、「API Gateway コンソールを使用してメソッドを設定する」を参照してください。「Obtain an API's invoke URL in the API Gateway console」を参照してください。
IAM ユーザーのグループに API 認証を付与する
- API ユーザーに付与するアクセス許可を決定します。詳細については、「IAM アクセス許可を使用して API へのアクセスを制御する」を参照してください。
- 必要なアクセス許可を含む IAM ポリシーを作成します。例と形式のガイダンスについては、次のページを参照してください。
API 呼び出しに関するアクセスを制御する
API 実行アクセス許可用の IAM ポリシー例
Amazon API Gateway の ID ベースポリシー例
注: この記事の最後にあるテストの手順を完了するには、呼び出しアクセス許可を付与する必要があります。 - 次のいずれかを実行して IAM ポリシーを IAM グループにアタッチします。
ポリシーを既存の IAM グループにアタッチします。
または、
新しい IAMグループを作成するときにポリシーをアタッチします。
詳細については、「Create and attach a policy to an IAM User 」を参照してください。
**注:**IAM グループレベルでアクセス許可を付与することをお勧めします。
(オプション) API Gateway リソースポリシーを設定する
API Gateway のリソースポリシー (リソースベースのアクセス許可) と IAM ポリシー (ID ベースのアクセス許可) を使用して API へのアクセスを管理することもできます。詳細については、「IAM authentication and resource policy 」と「Iアイデンティティベースおよびリソースベースのポリシー」を参照してください。
**重要:**あるタイプの IAM ポリシーで API へのアクセスを拒否しており、別のタイプのポリシーでアクセスを許可している場合は、アクセスは拒否されます。詳細については、「Policy evaluation outcome tables」を参照してください。
認証設定をテストするためのリクエストを送信する
Postman アプリを使用して、IAM 認証を有効にした方法を使用して API リソースにリクエストを送信します。
注: 別のツールまたは環境を使用して API Gateway に送信されたリクエストを手動で認証するには、Signature Version 4 の署名プロセスを使用します。詳細については、「リクエストに署名する」を参照してください。
- Postman の [認可] タブで次の操作を行います。
[タイプ] で [AWS 署名] を選択します。 **AccessKey と SecretKey には、IAM ユーザーの IAM アクセスキー ID とシークレットアクセスキーを入力します。IAM ユーザーは、該当する API にアクセスできる IAM グループに属している必要があります。 - [リクエスト URL の入力] フィールドに、API の呼び出し URL を貼り付けます。特定の API リソースのメソッドで IAM 認証が有効な場合は、呼び出し URL の末尾にリソース名を追加します。
**注:**リソース名を含む完全なリクエスト URL は、次のようになります。https://restApiId.execute-api.region.amazonaws.com/stageName/resourceName
認証されたリクエストは 200 OK レスポンスコードを返します。許可されていないリクエストは、「認証トークンが見つかりません」というメッセージと 403 Forbidden 応答コードを返します。
関連情報
How API Gateway resource policies affect authorization workflow
関連するコンテンツ
AWS公式更新しました 2年前- AWS公式更新しました 4ヶ月前
