Bei der Verwendung von API-Gateway zu Proxy AWS-Dienste wie S3 funktioniert super.AWS API-Gateway-Sicherheit mit einem benutzerdefinierten Autorisierungs- und AWS-Service-Integrationen
Es scheint jedoch, dass Sicherheit ein nachträglicher Einfall ist. Die Ausführungsrolle, die für die AWS-Service-Integration verwendet wird, scheint den integrierten Service offen zu lassen, wenn ein Kundenautorisierungsprogramm verwendet wird.
Der benutzerdefinierte Autorizer im API-Gateway gibt eine principalId
(z. B. eine userId) und ein IAM-Richtliniendokument zurück. Wie könnte man eine IAM-Richtlinie für die Ausführungsrolle der Dienstintegration erstellen, die zum Beispiel die userId/principalId im Pfad eines S3-Objekts erfordern würde.
I.e. Verwenden einer benutzerdefinierten Autorisierung + S3-Integration Wie sichern Sie den Objektzugriff nur auf einen bestimmten Schlüsselbereich, in dem die PrincipalId Teil eines Objekt-Tags oder -Pfades ist? http://docs.aws.amazon.com/AmazonS3/latest/dev/object-tagging.html oder http://docs.aws.amazon.com/AmazonCloudWatch/latest/events/policy-keys-cwe.html