Я пытался выяснить, как можно было бы использовать группы Cognito AWS для ограничения доступа к конечным точкам API на основе групповых политик Cognito.
- Я создал пул идентификаторов с пулом пользователей.
- Добавлена групповая политика cognito, затем она привязана к политике IAM.
- В политике она предоставляет доступ к конечной точке шлюза API ARN
- Существует авторизатор, который используетпул Cognito AWS
Проблема заключается в том, что если пользователь Cognito не был добавлен в группу в Cognito, он не должен иметь доступа к конечной точке шлюза API.В настоящее время он все еще разрешает доступ, когда группа не была назначена этому пользователю.
Вот моя политика, которая установлена в группе Cognito.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:eu-west-1:0:xxxx/*/*/*"
},
{
"Effect": "Allow",
"Action": [
"cognito-sync:*"
],
"Resource": "arn:aws:cognito-sync:eu-west-1:x:identitypool/eu-west-2:0"
}
]
}
Спасибо