API Gateway 使用 IAM_AUTH 进行身份认证,角色如何使用?

0

【以下的问题经过翻译处理】 您好,我有以下情况:

被调用方(使用IAM_Role)-> API网关 -> 下游应用程序。

当启用IAM_AUTH进行身份验证时,API Gateway会检查资源策略以确保角色有效。但是,客户希望对下游应用程序进行二次检查以进行端到端验证,因此需要知道用于原始请求到API Gateway的IAM角色。有没有一种方法可以做到这一点?

例如,服务器A使用角色A调用API网关发出请求。 API网关验证其资源策略,允许角色发出该调用。下游服务器B从API Gateway获取请求,并进行第二次检查,具有额外的逻辑来检查角色A在应用程序级别可以做什么。是否有一种及时从API网关拉取该角色的方法?

最好是在头文件中添加角色名称或角色ID。原始请求已签署sigv4签名,Cloudwatch日志可能太滞后。

profile picture
专家
已提问 4 个月前14 查看次数
1 回答
0

【以下的回答经过翻译处理】 $context.identity.userArn$context.identity.user应该具有你需要的内容。

它们在Lambda代理请求中可用(默认情况下具有所有上下文),并且在非代理集成中使用映射模板时也可用。

profile picture
专家
已回答 4 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则