API Gateway 使用 IAM_AUTH 进行身份认证,角色如何使用?
0
【以下的问题经过翻译处理】 您好,我有以下情况:
被调用方(使用IAM_Role)-> API网关 -> 下游应用程序。
当启用IAM_AUTH进行身份验证时,API Gateway会检查资源策略以确保角色有效。但是,客户希望对下游应用程序进行二次检查以进行端到端验证,因此需要知道用于原始请求到API Gateway的IAM角色。有没有一种方法可以做到这一点?
例如,服务器A使用角色A调用API网关发出请求。 API网关验证其资源策略,允许角色发出该调用。下游服务器B从API Gateway获取请求,并进行第二次检查,具有额外的逻辑来检查角色A在应用程序级别可以做什么。是否有一种及时从API网关拉取该角色的方法?
最好是在头文件中添加角色名称或角色ID。原始请求已签署sigv4签名,Cloudwatch日志可能太滞后。
- 语言
- 中文 (简体)
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 $context.identity.userArn或$context.identity.user应该具有你需要的内容。
它们在Lambda代理请求中可用(默认情况下具有所有上下文),并且在非代理集成中使用映射模板时也可用。
