Steuern Sie den Zugriff auf eine REST API mit IAM Berechtigungen - APIAmazon-Gateway
APIGateway-Berechtigungsmodell für die Erstellung und Verwaltung eines API APIGateway-Berechtigungsmodell zum Aufrufen eines API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Zugriff auf eine REST API mit IAM Berechtigungen

Sie kontrollieren den Zugriff auf Ihr Amazon API Gateway API mit IAMBerechtigungen, indem Sie den Zugriff auf die folgenden beiden API Gateway-Komponentenprozesse kontrollieren:

  • Um ein API integriertes API Gateway zu erstellen, bereitzustellen und zu verwalten, müssen Sie dem API Entwickler Berechtigungen zur Durchführung der erforderlichen Aktionen gewähren, die von der API Verwaltungskomponente von API Gateway unterstützt werden.

  • Um ein bereitgestelltes Objekt aufzurufen API oder das API Caching zu aktualisieren, müssen Sie dem API Aufrufer Berechtigungen zur Ausführung der erforderlichen IAM Aktionen gewähren, die von der API Ausführungskomponente von API Gateway unterstützt werden.

Die Zugriffskontrolle für die beiden Prozesse umfasst verschiedene Berechtigungsmodelle, die nachstehend erläutert werden.

APIGateway-Berechtigungsmodell für die Erstellung und Verwaltung eines API

Damit ein API Entwickler ein integriertes API Gateway erstellen und verwalten kann, müssen Sie IAMBerechtigungsrichtlinien erstellen, die es einem bestimmten API Entwickler ermöglichen, erforderliche APIEntitäten zu erstellen, zu aktualisieren, bereitzustellen, anzuzeigen oder zu löschen. API Sie fügen die Richtlinie an einen Benutzer, eine Rolle oder eine Gruppe an.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Weitere Informationen dazu, wie Sie dieses Berechtigungsmodell verwenden, finden Sie unter APIIdentitätsbasierte Richtlinien für Gateways.

APIGateway-Berechtigungsmodell zum Aufrufen eines API

Damit ein API Aufrufer das Caching aufrufen API oder das Caching aktualisieren kann, müssen Sie IAM Richtlinien erstellen, die es einem bestimmten API Aufrufer ermöglichen, die API Methode aufzurufen, für die die Benutzerauthentifizierung aktiviert ist. Der API Entwickler legt die authorizationType Eigenschaft der Methode so fest, dass sie verlangt, dass der Aufrufer die Anmeldeinformationen des Benutzers übermittelt, AWS_IAM um authentifiziert zu werden. Anschließend verknüpfen Sie die Richtlinie mit einem Benutzer, einer Rolle oder einer Gruppe.

In dieser Erklärung zur IAM Berechtigungsrichtlinie enthält das IAM Resource Element eine Liste der bereitgestellten API Methoden, die durch bestimmte HTTP Verben und API Gateway-Ressourcenpfade identifiziert werden. Das IAM Action Element enthält die erforderlichen API API Gateway-Ausführungsaktionen. Zu diesen Aktionen gehört execute-api:Invoke oderexecute-api:InvalidateCache, wobei die zugrunde liegende API Ausführungskomponente von API Gateway execute-api bezeichnet wird.

Weitere Informationen dazu, wie Sie dieses Berechtigungsmodell verwenden, finden Sie unter Steuern Sie den Zugriff für das Aufrufen eines API.

Wenn an in einen AWS Dienst (z. B. AWS Lambda) im Backend integriert API ist, muss API Gateway auch über Berechtigungen für den Zugriff auf integrierte AWS Ressourcen (z. B. das Aufrufen einer Lambda-Funktion) im Namen des API Aufrufers verfügen. Um diese Berechtigungen zu gewähren, erstellen Sie eine IAM Rolle des AWS Dienstes für API den Typ Gateway. Wenn Sie diese Rolle in der IAM Managementkonsole erstellen, enthält die daraus resultierende Rolle die folgende IAM Vertrauensrichtlinie, die API Gateway als vertrauenswürdige Entität deklariert, die diese Rolle übernehmen darf: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "apigateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wenn Sie die IAM Rolle erstellen, indem Sie den Befehl create-role von CLI oder eine entsprechende SDK Methode aufrufen, müssen Sie die obige Vertrauensrichtlinie als Eingabeparameter von angeben. assume-role-policy-document Versuchen Sie nicht, eine solche Richtlinie direkt in der IAM Managementkonsole zu erstellen oder den Befehl AWS CLI create-policy oder eine entsprechende Methode aufzurufen. SDK

Damit API Gateway den integrierten AWS Dienst aufrufen kann, müssen Sie dieser Rolle auch entsprechende IAM Berechtigungsrichtlinien für den Aufruf integrierter AWS Dienste zuordnen. Um beispielsweise eine Lambda-Funktion aufzurufen, müssen Sie die folgende IAM Berechtigungsrichtlinie in die IAM Rolle aufnehmen: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "*"
        }
    ]
}

Lambda unterstützt ressourcenbasierte Zugriffsrichtlinien und kombiniert somit Vertrauens- und Berechtigungsrichtlinien. Bei der Integration API mit einer Lambda-Funktion mithilfe der API Gateway-Konsole werden Sie nicht aufgefordert, diese IAM Rolle explizit festzulegen, da die Konsole die ressourcenbasierten Berechtigungen für die Lambda-Funktion mit Ihrer Zustimmung für Sie festlegt.

Anmerkung

Um die Zugriffskontrolle für einen AWS Dienst festzulegen, können Sie entweder das aufruferbasierte Berechtigungsmodell verwenden, bei dem eine Berechtigungsrichtlinie direkt an den Benutzer oder die Gruppe des Anrufers angehängt wird, oder das rollenbasierte Berechtigungsmodell, bei dem eine Berechtigungsrichtlinie an eine IAM Rolle angehängt wird, die API Gateway übernehmen kann. Die Berechtigungsrichtlinien in den zwei Modellen können sich unterscheiden. Zum Beispiel kann die aufruferbasierte Richtlinie den Zugriff blockieren, während die rollenbasierte ihn zulässt. Sie können dies nutzen, um zu verlangen, dass ein Benutzer nur über ein Gateway auf einen Dienst zugreift. AWS API API