API ağ geçidi istirahat istemcisinden AWS IAM yetkisini nasıl geçireceğimi

Question

Kimliği doğrulanmış API ağ geçidi bitiş noktasını dinlenme istemcisinden test etmeye çalışıyorum. İstekte bulunurken "AWS_IAM" yetkilendirme üstbilgileri nasıl oluşturulur/ayarlanır?

Answer 1

Bunu yapabilmek için API GatewayAWS v4 request signature mantığını çoğaltmanız gerekir. İdeal olarak, bu istek imzalarının nasıl hesaplanacağı hakkında fikir edinmek için API'nız için oluşturulan Javascript/Java SDK'sına bakmanız gerekir. Test isteğiniz için kimlik doğrulamasını kapatmanızı öneririm.

Answer 2

Daha sonra, Cognito havuz id rol takmak rolü olan sınırlı ayrıcalığa sahip geçici kimlik bilgilerini almak için API

AWS.config.credentials = new AWS.CognitoIdentityCredentials({ 
    IdentityPoolId: 'REGION:YOUR_POOL_ID', 
}); 

Kullanım AWS STS GEÇİDİ

erişen bir "kamu" havuz kimliği ile Cognito kullanabilirsiniz.

var apigClient = apigClientFactory.newClient({ 
    accessKey: 'ACCESS_KEY', 
    secretKey: 'SECRET_KEY', 
    sessionToken: 'SESSION_TOKEN', //OPTIONAL: If you are using temporary credentials you must include the session token 
    region: 'eu-west-1' // OPTIONAL: The region where the API is deployed, by default this parameter is set to us-east-1 
}); 

NB: Bundan sonra sen STS aldığım biri ile müşteri başlatmak için AWS_IAM kimlik doğrulama oluşturulan SDK AMI kimlik bilgilerini kabul

API Geçidi, sen gelmiş kullanabilirsiniz üzerinde kesinlikle asgari roller koy senin havuz, bu herkesin kullanabileceği bir kimliktir, her bir kuruluş geçici veya sabit (kullanıcılara cihazlar arasında izlemek için) user_/app_ kimliği almak için kullanabilir.

Güncelleme Nisan 2016: Christine yorumu için: Documentation STS nasıl kullanılacağı hakkında.

TL; DR:

AWS.config.credentials = new AWS.WebIdentityCredentials({ 
    RoleArn: 'arn:aws:iam::<AWS_ACCOUNT_ID>:role/<WEB_IDENTITY_ROLE_NAME>', 
    ProviderId: 'graph.facebook.com|www.amazon.com', // Omit this for Google 
    WebIdentityToken: ACCESS_TOKEN 
});