Как получить доступ к конечной точке API Gateway из другой учетной записи?

Question

У меня есть API, к которому следует обращаться только из другой учетной записи AWS.Я следовал некоторой документации AWS, и вот что я сделал:

• Создал внутренний NLB перед ASG.Все они находятся в частной подсети.
• Создан шлюз API, который подключается к NLB по каналу VPC.
• Создает пользовательское доменное имя (через Route53) и устанавливает сертификат с помощью ACM.
• Ресурсы используют AWS_IAM в качестве авторизации.
• Политика ресурсов предоставляет авторизацию другой учетной записи для ресурса.
• В авторизованной учетной записи я создал EC2экземпляр и связал роль IAM с полным доступом к шлюзу API.

Когда я пытаюсь соединить подписывание запросов (используя this ), все работает просто отлично.Но для подписания запроса требуется ключ доступа AWS и секретный ключ.Это не звучит правильно для меня.Что я делаю неправильно?Есть ли другой способ сделать это без учетных данных?

Cheers.

Answer 1

Когда требуется предоставить ключ доступа и секретный ключ, я полагаю, вам нужно установить приложение авторизации под названием «Почтальон» (пожалуйста, ознакомьтесь с этим документом: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html).

Кроме того, на вашем шаге 5, я думаю,если вы хотите получить доступ к конечной точке шлюза api из ec2, вы должны сначала создать Роль в этой учетной записи ec2, а затем присоединить Роль к этому ec2 и, наконец, предоставить Роль с разрешением шлюза api в вашей текущей учетной записи.