Как интегрировать Cognito Identity Pool с API Gateway?

Question

У меня вопрос об интеграции Cognito и API Gateway, и я надеюсь, что вы можете мне помочь в этом. Я подумываю о создании приложения, в котором мне бы хотелось, чтобы процесс аутентификации был с третьими лицами (Facebook, Twitter ...), поэтому я отбрасываю Cognito User Pool, тогда у меня есть Cognito Identity Pool, но это то, где мои сомнения растут.

• Как интегрировать его со шлюзом API?
• Должен ли я использовать API-интерфейс API-шлюза для управления токеном, созданным Cognito?
• Если я не использую Custom Authorizer, как я могу ограничить доступ к API-методам на основе профиля пользователя (admin, client ...)?

Спасибо за вашу помощь

Answer 1

Как я могу интегрировать его с API шлюза?

• для бассейнов Cognito удостоверений, вы будете установить тип авторизации на ваши методы AWS_IAM

Должен ли я использовать API шлюз Выборочной Authorizer для управления маркером, порожденной Cognito?

• С идентификационными пулами это будет невозможно. Вы должны будете использовать авторизацию AWS_IAM. Вы получите доступ к идентификатору Cognito для вашего внутреннего вызова.

Если я не использую Custom Authorizer, как я могу ограничить доступ к API-методам на основе профиля пользователя (admin, client ...)?

• Кто-то более знакомый Cognito сможет лучше ответить, но я считаю, что вы можете настроить только «аутентифицированную роль» и «роль, не прошедшую проверку». Поэтому, когда пользователь аутентифицируется с помощью внешнего провайдера, он получает «аутентифицированную роль» и все. Я не уверен, есть ли поддержка групп пользователей (admin, client) в Identity Pools (есть поддержка в пулах пользователей).

Edit: возможно, это поможет http://www.slideshare.net/AmazonWebServices/securing-serverless-workloads-with-cognito-and-api-gateway-part-i-aws-security-day