【发布时间】:2021-09-15 00:49:33
【问题描述】:
我创建了一个认知池
创建的用户
创建了 2 个组没有任何 IAM 角色
将用户分配到 2 个不同的组。
我将一个组的策略存储在数据库中并缓存它们。
在已配置的lambda授权器中,拒绝策略与principalId设置为随机字符串一起使用。
为了允许访问,我将主体 ID 设置为 cognito 用户名。我从数据库中获取所有 api 网关端点允许的权限的策略。 ( 供测试用 ) 但即使在此之后,我也会收到“用户未授权”消息。
我的理解错了吗?我做错了什么。
这是我允许使用 userId 作为 cognito 用户名进行访问的策略。
authResponse = {}
authResponse['principalId'] = userId
authResponse['policyDocument'] = {
'Version': '2012-10-17',
'Statement': [
{
'Sid': 'FirstStatement',
'Action': 'execute-api:Invoke',
'Effect': 'Allow',
'Resource': 'arn:aws:execute-api:us-east-1:*:ppg7tavcld/test/GET/test-api-1/users/*'
}
]
}
return authResponse
【问题讨论】:
标签: amazon-web-services amazon-cognito