AWS APIゲートウェイカスタムオーソライザとAWSサービスインテグレーションのセキュリティ

Question

APIゲートウェイを使用して、プロキシとしてS3などのAWSサービスがうまく動作します。

しかし、セキュリティは後から考えられるようです。 AWSサービスの統合に使用される実行ロールは、顧客認可者の使用時に統合サービスを開いたままにしているようです。

APIゲートウェイのカスタムオーソライザは、principalId（userIdなど）とIAMポリシードキュメントを返します。どのようにして、サービスインテグレーションの実行ロールのためのIAMポリシーを構築することができますか？たとえば、userId/principalIdをS3オブジェクトのパスに入れる必要があります。

I.e.カスタムオーソライザ+ S3統合を使用するprincipalIDがオブジェクトタグまたはパスの一部である特定のキースペースのみにオブジェクトアクセスをセキュリティで保護するにはどうすればよいですか？ http://docs.aws.amazon.com/AmazonS3/latest/dev/object-tagging.htmlまたはhttp://docs.aws.amazon.com/AmazonCloudWatch/latest/events/policy-keys-cwe.html

Answer 1

私は同じ問題を抱えていました。ここで私はその道でそれを解決した方法です。

はuser1が自分のデータにアクセスする必要があると仮定し、そのスペースは、ユーザーがドメインのみ/ USER1/*にアクセスできるようにポリシーを返すことができますカスタムオーソで

domain/user1/object1 
domain/user1/object2 

です。任意のパターンを使用して、必要な名前空間にストレージを編成できます。複数のユーザーの名前空間を拡張したい場合は、

domain/user1/* 
domain/managers/* 

にアクセスできます。そして、APIGatewayは残りの部分を処理します。ユーザーが上記のURLパス以外のものにアクセスしようとすると、ユーザーは403のアクセスを禁止されます。

は、認証が必要な場合、私はCloudFrontのはURLとCognitoに署名した推薦、AWSからドキュメントを踏襲し、完璧に動作し、また

http://docs.aws.amazon.com/apigateway/latest/developerguide/use-custom-authorizer.html

。