1
Cognito 인증 사용자가 API 게이트웨이 끝점을 호출하고 '/users/<IdentityID>/*'과 같은 자신의 리소스로 제한하도록 허용하려고합니다.Cognito Identity ID를 기반으로하는 API 게이트웨이 호출을위한 IAM 정책
이와 같이 IAM 역할을 준비했습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"execute-api:Invoke"
],
"Resource": [
"arn:aws:execute-api:ap-northeast-1:*:MyAPIID/*/*/users/${cognito-identity.amazonaws.com:sub}*"
]
}
}
하지만이 설정에서는 호출하려고 할 때 403 오류가 발생합니다.
${cognito-identity.amazonaws.com:sub}을 실제 신원 ID (예 : ap-northeast-1%3Ad8515ae9-62b5-4cba-af5c-195f5d7e1d07)로 바꾸면 작동합니다.
API 게이트웨이 리소스에는 ${cognito-identity.amazonaws.com:sub}을 사용할 수 없습니까?
알 수 있습니다. 감사! 신원 id를 포함시키는 아이디어는 본질적으로 나쁠 수 있습니다. 다른 방법으로 권한을 확인합니다. – gaishimo