如何允许 API Gateway REST API 用户通过 Amazon Cognito 用户群体组中的执行角色运行 Lambda 函数?

2 分钟阅读
0

使用 AWS Lambda 代理集成的 Amazon API Gateway REST API 具有 Amazon Cognito 用户群体身份验证。如何允许用户使用其用户群体组的 AWS Identity and Access Management(IAM)角色运行我的 Lambda 函数?

解决方法

**注意:**除了 Amazon Cognito 用户池之外,您还可以配置身份池以授权访问您的 API。有关更多信息,请参阅基于角色的访问控制

在设置用户以使用他们的 Amazon Cognito 角色运行 Lambda 之前,请确保您已进行如下设置:

要允许用户使用他们的 Amazon Cognito 权限运行 Lambda,请按照以下步骤操作:

1.    使用 API Gateway 控制台,以授权方身份建立您的 Amazon Cognito 用户群体。然后,将 Amazon Cognito 用户池分配为您的 API 方法的授权方。有关说明,请参阅将 REST API 与 Amazon Cognito 用户群体集成

2.    打开 AWS Lambda 控制台

3.    选择已配置为 API 的代理资源的 Lambda 函数。

4.    配置 Lambda 函数,并添加以下代码段。此代码段会从事件详细信息中获取 Amazon Cognito 角色,然后代入该角色。

**注意:**要运行此代码段,您的 Lambda IAM 角色必须具有访问 Amazon CloudWatch Logs 的权限。该角色还必须进行 AssumeRole API 调用才能运行 assume_role 命令。

import boto3
client = boto3.client('sts')
def lambda_handler(event, context):
    role=event['requestContext']['authorizer']['claims']['cognito:roles']
    response = client.assume_role(
        RoleArn=role,
        RoleSessionName='APIrole'
    )
    print(response)
    response2api = {"statusCode": 200,"headers": { },"body": "Success"}
    return response2api

一个用户可以属于多个 Amazon Cognito 用户群体组,而每个组可以具有不同的 IAM 角色。如果某个用户属于两个或更多组,则 cognito:roles 陈述会返回角色列表。用户 ID 令牌中的 cognito:preferred_role 陈述会继承具有最高优先级(优先级值最小)的组的 IAM 角色。有关更多信息,请参阅基于角色的访问控制

要获取 cognito:preferred_role,请使用以下代码段:

role = event['requestContext']['authorizer']['claims']['cognito:preferred_role']

要验证用户是否可以使用其 Amazon Cognito 角色运行 Lambda,请按照以下步骤操作:

1.    打开您的客户端应用程序,以 Amazon Cognito 用户群体中用户的身份登录。

2.    使用登录后收到的 ID 令牌调用您的 API。
**注意:**请确保使用返回令牌中的 id_token 值。

3.    验证您是否可以访问 Amazon Cognito 用户群体角色中定义的相同资源。

4.    可以选择查看 CloudWatch Logs,以验证 assume_role 命令是否成功。

**注意:**如果您使用 API Gateway Lambda 授权方来授权对您的 API 的访问权限,则使用经过授权方验证的用户群体令牌。在您代入令牌的角色之前,必须对令牌进行验证。


相关信息

以授权方身份使用 Amazon Cognito 用户池控制对 REST API 的访问

使用 Lambda 集成构建 API Gateway REST API

AWS Lambda 执行角色

相关视频

AWS 官方
AWS 官方已更新 1 年前