Question

Я пытаюсь создать шлюз API с помощью AWS-CDK и защитить конечные точки REST с помощью авторизатора пула пользователей Cognito.

Я не могу найти примеров того, как это можно сделать.Я думал, что это должно выглядеть примерно так, но может быть, методы, которые мне нужны, не существуют?

const cdk       = require('@aws-cdk/cdk');
const lambda    = require('@aws-cdk/aws-lambda');
const apigw     = require('@aws-cdk/aws-apigateway');

const path  = require('path');

// 
// Define the stack:
class MyStack extends cdk.Stack {
    constructor (parent, id, props) {
        super(parent, id, props);    

        var tmethodHandler = new lambda.Function(this, 'test-lambda', {
            runtime: lambda.Runtime.NodeJS810,
            handler: 'index.handler',
            code: lambda.Code.directory( path.join( __dirname, 'lambda')),
        });

        var api         = new apigw.RestApi(this, 'test-api');

        const tmethod   = api.root.addResource('testmethod');

        const tmethodIntegration    = new apigw.LambdaIntegration(tmethodHandler);

        tmethod.addMethod('GET', getSessionIntegration, {
            authorizationType: apigw.AuthorizationType.Cognito,
            authorizerId : 'crap!!!?'
        });

    }
}

class MyApp extends cdk.App {
    constructor (argv) {
        super(argv);

        new MyStack(this, 'test-apigw');
    }
}

console.log(new MyApp(process.argv).run());

dorival · Answer 1 · 15 июля 2019

Это мое решение в TypeScript (в некоторой степени основанное на ответе bgdnlp)

import { App, Stack, Aws } from '@aws-cdk/core';
import { Code, Function, Runtime } from '@aws-cdk/aws-lambda';
import { LambdaIntegration, RestApi, CfnAuthorizer, CfnMethod } from '@aws-cdk/aws-apigateway';

const app = new App();
const stack = new Stack(app, `mystack`);
const api = new RestApi(stack, `myapi`);

const region = Aws.REGION;
const account = Aws.ACCOUNT_ID;
const cognitoArn = `arn:aws:cognito-idp:${region}:${account}:userpool/${USER_POOL_ID}`;

const authorizer = new CfnAuthorizer(stack, 'Authorizer', {
  name: `myauthorizer`,
  restApiId: api.restApiId,
  type: 'COGNITO_USER_POOLS',
  identitySource: 'method.request.header.Authorization',
  providerArns: [cognitoArn],
});

const lambda = new Function(stack, 'mylambda', {
  runtime: Runtime.NODEJS_10_X,
  code: Code.asset('dist'),
  handler: `index.handler`,
});

const integration = new LambdaIntegration(lambda);

const res = api.root.addResource('hello');

const method = res.addMethod('GET', integration);

const child = method.node.findChild('Resource') as CfnMethod;

child.addPropertyOverride('AuthorizationType', 'COGNITO_USER_POOLS');

child.addPropertyOverride('AuthorizerId', { Ref: authorizer.logicalId });

Sma Ma · Answer 2 · 04 марта 2019

Действительно.нет примера сделать это с помощью копирования и вставки;).Вот мой пример создания пула пользователей AWS cognito и подключения авторизатора пользовательских политик к API-шлюзу и лямбда-функции с использованием AWS CDK на основе Java версии 0.24.1.

Этот пример является просто примером для предоставления защищенного APIдля функции "Foo".

Пул пользователей Cognito
Шлюз API
Лямбда

DynamoDB

// -----------------------------------------------------------------------
// Cognito User Pool
// -----------------------------------------------------------------------
CfnUserPool userPool = new CfnUserPool(this, "cognito",
    CfnUserPoolProps.builder()
        .withAdminCreateUserConfig(
            AdminCreateUserConfigProperty.builder()
                .withAllowAdminCreateUserOnly(false)
                .build())
        .withPolicies(
            PoliciesProperty.builder()
                .withPasswordPolicy(
                    PasswordPolicyProperty.builder()
                        .withMinimumLength(6)
                        .withRequireLowercase(false)
                        .withRequireNumbers(false)
                        .withRequireSymbols(false)
                        .withRequireUppercase(false)
                        .build()
                )
                .build()
        )
        .withAutoVerifiedAttributes(Arrays.asList("email"))
        .withSchema(Arrays.asList(
            CfnUserPool.SchemaAttributeProperty.builder()
                .withAttributeDataType("String")
                .withName("email")
                .withRequired(true)
                .build()))
        .build());

// -----------------------------------------------------------------------
// Cognito User Pool Client
// -----------------------------------------------------------------------
new CfnUserPoolClient(this, "cognitoClient",
    CfnUserPoolClientProps.builder()
        .withClientName("UserPool")
        .withExplicitAuthFlows(Arrays.asList("ADMIN_NO_SRP_AUTH"))
        .withRefreshTokenValidity(90)
        .withUserPoolId(userPool.getRef())
        .build());

// -----------------------------------------------------------------------
// Lambda function
// -----------------------------------------------------------------------
Function function = new Function(this, "function.foo",
    FunctionProps.builder()
        // lamda code located in /functions/foo
        .withCode(Code.asset("functions/foo"))
        .withHandler("index.handler")
        .withRuntime(Runtime.NODE_J_S810)
        .build());

// -----------------------------------------------------------------------
// DynamoDB Table
// -----------------------------------------------------------------------
Table table = new Table(this, "dynamodb.foo", TableProps.builder()
    .withTableName("foo")
    .withPartitionKey(Attribute.builder()
        .withName("id")
        .withType(AttributeType.String)
        .build())
    .build());

// GRANTS function -> table
table.grantReadWriteData(function.getRole());

// -----------------------------------------------------------------------
// API Gateway
// -----------------------------------------------------------------------

// API Gateway REST API with lambda integration
LambdaIntegration lambdaIntegration = new LambdaIntegration(function);
RestApi restApi = new RestApi(this, "foo");

// Authorizer configured with cognito user pool
CfnAuthorizer authorizer = new CfnAuthorizer(this, "authorizer",
    CfnAuthorizerProps.builder()
        .withName("cognitoAuthorizer")
        .withRestApiId(restApi.getRestApiId())
        .withIdentitySource("method.request.header.Authorization")
        .withProviderArns(Arrays.asList(userPool.getUserPoolArn()))
        .withType("COGNITO_USER_POOLS")
        .build());

// Bind authorizer to API ressource
restApi.getRoot().addMethod("ANY", lambdaIntegration, MethodOptions
    .builder()
      .withAuthorizationType(AuthorizationType.Cognito)
      .withAuthorizerId(authorizer.getAuthorizerId())
    .build());

bgdnlp · Answer 3 · 23 июня 2019

Предыдущие ответы больше не работают, поскольку свойство authorizerId было заменено на authorizer, которое в настоящее время не реализовано полностью.

Вместо этого это можно сделать с помощью базовых объектов CfnResource., как описано в официальном руководстве .

Вот пример кода Python:

from aws_cdk import cdk
from aws_cdk import aws_apigateway


class Stk(cdk.Stack):
    def __init__(self, app, id):
        super().__init__(app, id)

        api_gw = aws_apigateway.RestApi(self, 'MyApp')
        post_method = api_gw.root.add_method(http_method='POST')

        # Create authorizer using low level CfnResource
        api_gw_authorizer = aws_apigateway.CfnAuthorizer(
            scope=self,
            id='my_authorizer',
            rest_api_id=api_gw.rest_api_id,
            name='MyAuth',
            type='COGNITO_USER_POOLS',
            identity_source='method.request.header.name.Authorization',
            provider_arns=[
                'arn:aws:cognito-idp:eu-west-1:123456789012:userpool/'
                'eu-west-1_MyCognito'])

        # Get underlying post_method Resource object. Returns CfnMethod
        post_method_resource = post_method.node.find_child('Resource')
        # Add properties to low level resource
        post_method_resource.add_property_override('AuthorizationType',
                                                   'COGNITO_USER_POOLS')
        # AuthorizedId uses Ref, simulate with a dictionaty
        post_method_resource.add_property_override(
                'AuthorizerId',
                {"Ref": api_gw_authorizer.logical_id})


app = cdk.App()
stk = Stk(app, "myStack")

app.synth()

Ivan Kluzak · Answer 4 · 10 октября 2018

Я понял, что выглядит как механизм ... Я смог заставить его работать так:

           var auth = new apigw.cloudformation.AuthorizerResource(this, 'myAuthorizer', {
                    restApiId: api.restApiId,
                    authorizerName: 'mypoolauth',
                    authorizerResultTtlInSeconds: 300,
                    identitySource: 'method.request.header.Authorization',
                    providerArns: [ 'arn:aws:cognito-idp:us-west-2:redacted:userpool/redacted' ],
                    type: "COGNITO_USER_POOLS"
            });

            tmethod.addMethod('GET', getSessionIntegration, {
                authorizationType: apigw.AuthorizationType.Cognito,
                authorizerId : auth.authorizerId
            });

Теперь, чтобы выяснить, как включить заголовки CORS на API-шлюзе ...

Авторизатор пула пользователей AWS CDK

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Авторизатор пула пользователей AWS CDK

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы