我有aws example.com的域,目前我有記錄集,以便當用戶轉到example.com時,它會從S3(使用角度完成)和後端api(Lambda和API門的方式)。我沒有登錄過程,因爲網站的目的是面向公衆。AWS API網關方法授權
我可以在方法上使用apikey來授權http調用,但我仍然需要將它保存在某處的js代碼中,我不想這樣做。在這種情況下,我不確定IAM角色如何幫助我。
有沒有什麼辦法可以讓API允許來自特定域的調用?
最痛苦的方式很可能是使用AWS Signature V4 - 不幸的是,對於沒有內置驗證系統的網站來說,沒有很好的答案。有一天,他們會讓我們將API Gateways停放在VPC內部,但那一天不是今天。
您可以使用爲AWS Cognito聯合身份驗證中未經身份驗證的用戶定義的IAM角色。 AWS document將指導將IAM角色分配給未經身份驗證的用戶。
然後,您可以在API網關中爲任何特定API的資源啓用「AWS_IAM」授權者選項。
這個question在實現IAM基於角色的訪問API中使用類似的方法,其中實現使用外部聯合身份驗證(Google)而不是未經身份驗證的用戶身份。