Wie kann Cognito Identity Pool mit API Gateway integriert werden?

Question

Ich habe eine Frage zur Integration von Cognito und API Gateway und hoffe, dass Sie mir dabei helfen können. Ich denke darüber nach, einen Antrag zu stellen, in dem ich die Authentifizierung mit Dritten (Facebook, Twitter ...) möchte, also verwerfe ich Cognito User Pool, dann habe ich Cognito Identity Pool, aber hier wachsen meine Zweifel.

• Wie kann ich es mit API Gateway integrieren?
• Soll ich das API Gateway Custom Authorizer verwenden, um das von Cognito generierte Token zu verwalten?
• Wenn ich nicht den Custom Authorizer verwende, Wie kann ich den Zugriff auf die API-Methoden basierend auf dem Benutzerprofil (Admin, Client ...) einschränken?

Danke für Ihre Hilfe

Answer 1

Wie kann ich es mit API-Gateway integrieren?

• Für Cognito Identität Pools, werden Sie den Autorisierungstyp auf Ihre Methoden auf AWS_IAM

Sollte ich API-Gateway Benutzerdefinierte Authorizer verwenden, um die von Cognito erzeugten Token zu verwalten?

• Mit Identity Pools ist dies nicht möglich. Sie müssen die AWS_IAM-Autorisierung verwenden. Sie erhalten Zugriff auf die Cognito ID für Ihren Back-End-Anruf.

Wenn ich nicht den Custom Authorizer verwende, Wie kann ich den Zugriff auf die API-Methoden basierend auf dem Benutzerprofil (Admin, Client ...) einschränken?

• Jemand vertrauter Cognito wäre in der Lage, besser zu beantworten, aber ich glaube, dass Sie nur die "authentifizierte Rolle" und die "nicht authentifizierte Rolle" einrichten können. Wenn sich ein Benutzer bei einem externen Anbieter authentifiziert, erhält er die "authentifizierte Rolle" und das war's. Ich bin mir nicht sicher, ob Benutzergruppen (Admin, Client) in Identity Pools unterstützt werden (es gibt Unterstützung in User Pools).

Edit: vielleicht wird dies dazu beitragen http://www.slideshare.net/AmazonWebServices/securing-serverless-workloads-with-cognito-and-api-gateway-part-i-aws-security-day