使用 API Gateway 控制台为 REST API 配置跨账户 Amazon Cognito 授权方
您现在还可以使用来自不同 Amazon 账户的 Amazon Cognito 用户池作为 API 授权方。每个账户都可以位于 Amazon API Gateway 可用的任何区域中。Amazon Cognito 用户池可使用持有者令牌身份验证策略(如 OAuth 或 SAML)。这样就可以轻松地跨多个 API Gateway API 集中管理和共享中央 Amazon Cognito 用户池授权方。
在本节中,我们将介绍如何使用 Amazon API Gateway 控制台配置跨账户 Amazon Cognito 用户池。
这些说明假定您已在一个 Amazon 账户中拥有 API Gateway API,在另一个账户中有 Amazon Cognito 用户池。
使用 API Gateway 控制台配置跨账户 Amazon Cognito 授权方
在您的第一个账户(即拥有 API 的账户)中登录 Amazon API Gateway 控制台并执行以下操作:
-
找到您的 API,然后选择 Authorizers (授权方)。
-
选择 Create New Authorizer (创建新授权方)。
-
对于 Create Authorizer (创建授权方),在名称输入字段中键入授权方名称。
-
对于 Type (类型),选择 Cognito 选项。
-
对于 Cognito User Pool (Cognito 用户池),复制/粘贴您第二个账户中的用户池的完整 ARN。
注意
在 Amazon Cognito 控制台中,您可以在常规设置窗格的池 ARN 字段找到您的用户池的 ARN。
-
在 Token Source (令牌来源) 中键入标头的名称。API 客户端必须包括此标头名称才能将授权令牌发送到 Amazon Cognito 授权方。
-
(可选)在令牌验证输入字段中提供正则表达式语句。API Gateway 将针对此表达式执行对输入令牌的初始验证并在成功验证后调用授权方。这有助于降低无效令牌产生费用的几率。
-
选择 Create(创建)为 API 创建新的 Amazon Cognito 授权方。