Question

Я хочу предоставить доступ к некоторым идентификаторам учетной записи AWS для вызова шлюза API, который находится в моей учетной записи. Каков наилучший способ сделать это?

Я думаю, что есть способ добавить политику ресурсов, которая предоставляет доступ к этой учетной записи AWS. Это хороший способ сделать это? Я говорю о производственном виде услуг?

Кроме того, все ли ресурсы учетной записи AWS получат доступ к шлюзу API?

peekay · Answer 1 · 22 мая 2019

Для каждой конечной точки шлюза API мы можем изменить параметр авторизации с None на AWS_IAM:

Затем мы можем настроить доступ кAPI из раздела «Политика ресурсов» шлюза API.На странице политики ресурсов нажмите кнопку «Белый список учетных записей AWS», чтобы получить шаблон политики, приведенный ниже:

{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{{otherAWSAccountID}}:root",
            "arn:aws:iam::{{otherAWSAccountID}}:user/{{otherAWSUserName}}",
            "arn:aws:iam::{{otherAWSAccountID}}:role/{{otherAWSRoleName}}"
        ]
    },
    "Action": "execute-api:Invoke",
    "Resource": [
        "execute-api:/{{stageNameOrWildcard*}}/{{httpVerbOrWildcard*}}/{{resourcePathOrWildcard*}}"
    ]
}

В качестве альтернативы (или в дополнение) авторизации IAM, мы можем контролировать использование с помощьюКлючи API, которые позволяют ограничивать (ограничивать) вызовы API и устанавливать квоты.

Дополнительная информация:

Предоставление доступа к идентификаторам учетных записей AWS к API Gateway

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предоставление доступа к идентификаторам учетных записей AWS к API Gateway

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы