为了在我的 AWS API 网关中添加安全检查,我执行了以下操作:
我并行创建了两个角色(manager 和 basic_user)。 manager 组映射到 manager 角色,basic_user 组映射到 basic_user 角色。
我创建了一个 IAM 策略来拒绝对 basic_user 用户的访问,用于特定端点 GET 机组经理,并将此策略附加到 basic_user 角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"execute-api:Invoke"
],
"Resource": [
"arn:aws:execute-api:us-east-2:<my_account_id>:<API_ID>/*/GET/crew-manager"
]
}
]
}
我做错了吗?
答案 0 :(得分:1)
角色映射仅适用于 API 网关上的 AWS IAM 授权方。如果您使用的是 cognito 授权方,则必须在处理程序中进行授权检查或实施您自己的自定义授权方以返回适当的政策。