amazon-web-services - 使用 AWS Cognito 和 Serverless 实现基于角色的访问控制-6ren

amazon-web-services - 使用 AWS Cognito 和 Serverless 实现基于角色的访问控制

转载作者：行者123 更新时间：2023-12-03 14:49:56

24

4

我按照本教程使用 AWS 服务(S3、Lambda、Cognito、DynamoDB)和使用 ReactJS 的无服务器框架创建了一个无服务器应用程序 https://serverless-stack.com/ .本教程使用 AWS Cognito 用户池和身份池进行用户管理和身份验证。本教程中的应用程序是一个“记笔记”应用程序，它在应用程序中没有基于角色的访问控制。

然而，我正在创建的应用程序需要 RBAC，在阅读了它之后，我明白可以使用“用户组”或“联合身份”来实现 RBAC。但是，我仍然无法弄清楚如何在我的应用程序中正确使用它们中的任何一个。

这是我到目前为止在应用程序中所做的

创建了一个用户池并生成了池 ID

添加了一个 App Client 并生成了 App Client ID

使用无服务器创建和部署我的 API

使用 Cognito 作为身份验证提供者以及上面生成的池 ID 和应用程序客户端 ID 对带有身份池的 API 应用访问控制，然后应用具有以下策略的角色

政策

{
    "Version": "2012-10-17",
    "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "mobileanalytics:PutEvents",
        "cognito-sync:*",
        "cognito-identity:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::YOUR_S3_UPLOADS_BUCKET_NAME/${cognito-identity.amazonaws.com:sub}*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "execute-api:Invoke"
      ],
      "Resource": [
        "arn:aws:execute-api:YOUR_API_GATEWAY_REGION:*:YOUR_API_GATEWAY_ID/*"
      ]
    }
  ]
}

这允许每个人访问所有 API。如何为每个用户分配角色，然后根据他们的角色限制对某些 API 的访问？

最佳答案

有几种方法可以做到；更重要的是，您根本不需要身份池。

在 Cognito 用户池中，您定义的每个组 may have an IAM role与之相关。进行身份验证的用户将承担该角色(如果他们有多个组，则使用优先顺序)

或者，如果您需要做的只是在 API 网关上进行授权(而不是完整的 IAM 设置)，那么附加到网关的自定义授权方 lambda 将能够针对 Cognito 进行身份验证，然后根据经过身份验证的用户的详细信息进行授权.

关于amazon-web-services - 使用 AWS Cognito 和 Serverless 实现基于角色的访问控制，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46294293/

24

4

0

文章推荐： string - 检查 MyString[1] 是否是字母字符？

文章推荐： Delphi字符串泄漏

文章推荐：项目贡献者的 github graphql 查询

serverless - 将 serverless-tscpaths 插件与 serverless-plugin-optimize 一起使用会导致相对路径导入错误
在我的 serverless.yml 中，我使用 serverless-tscpaths 插件来解析 tsconfig 中定义的路径，并使用 serverless-plugin-optimize 来缩
serverless-framework - 如何将多个 serverless.yml 文件合并为单个 serverless.yml 文件？
我阅读了这个文档:https://serverless.com/framework/docs/providers/google/guide/services/ users/ serverless.
serverless-framework - 在 Serverless 中使用 .env 文件设置环境
使用 Serverless framework ，我希望能够从环境变量更改 AWS 区域。 provider: name: aws region: ${env:AWS_REGION} 然后，A
serverless-framework - Serverless, Inc 是否会看到我的 AWS 凭证？
我想开始使用无服务器框架来管理我公司的 lambda 部署，但我们处理 PHI 的安全性非常严格。我们的合规总监和 CTO 担心将我们的 AWS key 和 secret 传递给另一家公司。当做 s
serverless-framework - Serverless.yml 拒绝 cloudformation "Ref"函数
这是我的 serverless.yml 文件中的一个片段: Resources: LogGroupInfo: Type: 'AWS::Logs::LogGroup' Propert
aws-aurora-serverless - 如何在 Aurora Serverless 上启用 binlog
我正在使用 AWS Aurora serverless 设置一个新数据库，并且需要启用 binlog。我想我已经按原样遵循了文档，但无法使其正常工作。我该如何设置？按照文档，以下是我尝试启用 bin
serverless-framework - 读取 serverless.yml 中的 package.json 名称
我不想在 serverless.yml 中手动定义服务名称，而是想从 package.json 中读取 name 最佳答案为了实现基于 package.json 应用程序名称的动态服务名称，我利用了
serverless-framework - 使用 serverless-dotenv-plugin 更正 .env 文件
我将以下内容用作自定义 serverless-dotenv-plugin 插件配置: 风俗: dotenv: 路径:.env-${opt:stage, 'local'} 但我真正想得到的是当我不提供任
serverless-framework - 将 "useDotenv: true"放在 serverless.yml 文件中的何处？
我正在使用无服务器模板并且一切正常，直到突然我的所有部署开始忽略 .env文件。我搜索了documentation它说如果我想使用 .env 文件中的环境变量，我现在必须添加 useDotenv:
serverless-framework - 如何在 serverless.ts 文件中设置 provider.apiGateway.shouldStartNameWithService？
我正在使用新的无服务器 TypeScript monorepo 启动一个新项目!用过 aws-nodejs-typescript模板，它给出了 serverless.ts配置文件。几周后，我现在在命令
serverless-framework - 在 serverless.yml 中，tags 和 stackTags 有什么区别？
https://serverless.com/framework/docs/providers/aws/guide/serverless.yml/ provider: stackTags:
serverless-framework - 使用 Serverless 和 AWS 不在 NestJS 上注入(inject)依赖项
各位我正在尝试设置我的第一个 NestJS 应用程序。它由 AWS 上的无服务器提供支持。我创建了一个简单的 Controller ，它有一个服务作为依赖项。当我使用 HTTP 客户端访问端点时，
amazon-web-services - AWS::Serverless::Api 和 AWS::Serverless::HttpApi 之间有什么区别？
AWS::Serverless::Api 和 AWS::Serverless::HttpApi 之间有什么区别？据我了解，AWS::Serverless::HttpApi 似乎配置了 HTTP AP
aws-lambda - 如何构建 serverless.yml 文件以使用 serverless-express 部署 http api + lambda 项目？
我正在尝试使用 serverless.yml 替换 @vendia/serverless-express v2 示例中的默认 sam-template，以便通过无服务器部署进行部署 https://g
How to create different stages or environments in single serverless.yml file using serverless framework?(如何使用无服务器框架在单个无服务器.yml文件中创建不同的阶段或环境？)
I am new to using serverless framework ,I wanted to create three different environments dev,Qa,pr
node.js - 在本地 docker localhost :8000 with serverless-framework serverless-offline application running on localhost:4500 中使用 dynamodb
我希望向本地运行的无服务器框架 Node 应用程序添加状态。我遇到了官方的 DynamoDb docker 镜像，我想使用无服务器框架以及在 localhost:8000 公开的 docker 上运行
serverless-framework - 吉普错误!堆栈错误 : EACCES: permission denied, mkdir '/usr/local/lib/node_modules/serverless/node_modules/snappy/.node-gyp'
我有一个 AWS CodeBuild 项目，它尝试安装无服务器框架，但在标题中返回错误，但它说框架已成功安装。我的理解是这无法安装 snappy 模块。为什么会这样？我该如何解决？我在 builds
serverless - 无服务器云原生也是吗？
无服务器是云原生的子集或属性吗？或者是另一种方式——云原生是无服务器的子集或属性吗？ Nathan Aw(新加坡) 最佳答案云原生是一种更通用的方法来构建和运行利用云计算的应用程序。无服务器更
Serverless 架构如何演进详细介绍
Serverless 架构演进 Serverless架构风格挑战了软件设计和软件部署基础的现状，以实现最佳开发、最优运营和最优的管理开销。虽然它继承了微服务架构MSA的基本概念，但它已被赋予了新的
Serverless 在大规模数据处理的实践
前言当您第一次接触 Serverless 的时候，有一个不那么明显的新使用方式：与传统的基于服务器的方法相比，Serverless 服务平台可以使您的应用快速水平扩展，并行处理的工作更加有效。这

首页

博学

6Ren·AI

商城

amazon-web-services - 使用 AWS Cognito 和 Serverless 实现基于角色的访问控制