文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >问答首页 >为外部终端用户和内部系统保护AWS API网关

为外部终端用户和内部系统保护AWS API网关
EN

Stack Overflow用户
提问于 2019-12-10 00:51:02
回答 1查看 317关注 0票数 2

我们有一个托管在AWS API Gateway中的API。这需要得到保护,为此,我们使用AWS Cognito User Pool来访问移动客户端和web应用程序。

我们还想让内部系统(在我们的例子中是AWS Lambdas )访问API。

有人能解释为外部终端用户以及内部微服务保护API网关资源的最佳方法吗?

任何帮助都是非常感谢的。

amazon-web-services
security
oauth-2.0
aws-api-gateway
amazon-cognito
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2019-12-10 03:41:50

外部用户身份验证

为了确保API的安全,可以将AWS认知+ API 组合起来。

  1. 创建AWS认知池来存储和验证用户
  2. 创建API网关
  3. 将API网关与科尼图集成起来:

请转至:

AWS控制台-> API网关->选择API ->授权器->创建新授权器

然后,为需要授权的每个方法选择API ->参考资料->,您必须将其附加到方法请求中,如下所示:

当您使用移动应用程序时,最好在应用程序中实现AWS放大,以便处理AWS认知身份验证。在用户登录后,您可以为每个API调用检索一个令牌并在Authorizer中使用它,以确认用户是否已登录并可以使用该API。

内部微卫星

对于内部微服务,您可以只使用IAM角色,并授予这些角色访问权来调用您的API。然后将角色附加到EC2实例或Lambdas。

如果您想要使用上面的解决方案(授权程序头,使用认知令牌),那么在组合中,的角色将不工作直接调用API,因为它将被认知授权程序阻止。

的解决方案是,将通过IAM角色和用户API直接从内部微服务调用lambda以供外部使用。另一种选择是将2个API连接到相同的lambda,一个用于内部使用,另一个用于外部。

一种不同的方法

我认为,在您的情况下,最干净的解决方案是不使用认知授权器身份验证,而是在API中使用AWS_IAM作为授权方法,并在AWS 中创建一个组,将所有认知用户都包含到这个组中,并向该组附加一个IAM角色。通过这样做,当一个认知用户登录时,将通过附加的IAM角色获得临时访问密钥,他可以调用您的API。同时,当您在内部将此角色附加到lambda时,它们也将访问您的API。

为了实现这一方法,您可以遵循:

  1. 使用IAM权限控制对API的访问
  2. 创建认知组并分配IAM角色

一个关于Amazon网关资源策略对授权工作流的影响的有趣的网址

票数 3
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/59263340

复制
相关文章
内部网关协议 (IGP) 和外部网关协议 (EGP) ,言简意赅!
ipiso路由器网关协议
自治系统 (AS) 是由单个实体(例如公司或组织)管理的一组路由器,路由域是 AS 的另一个名称。公司的内部网络和 ISP 的网络都是 AS 的示例。
网络技术联盟站
2023/03/13
9.3K0
内部网关协议 (IGP) 和外部网关协议 (EGP) ,言简意赅!
使用腾讯云 API 网关保护 API 安全
云 APIapiAPI 网关tcp/ipWeb 应用防火墙
随着企业数字化进程的发展,企业正在大量使用 API 来连接服务和传输数据,API 在带来巨大便利的同时也带来了新的安全问题,被攻击的 API 可能导致重要数据泄漏并对企业业务造成毁灭性影响。因此,API 安全正受到业界和学术界的广泛关注,开放 Web 应用程序安全项目(OWASP)在 2019 年将 API 列为最受关注的十大安全问题。 OWASP API 安全计划是这样描述的:“API 是现代移动、SaaS 和 Web 应用程序的重要组成部分,其可以在面向客户、面向合作伙伴和内部应用程序中找到。因性质使
腾讯云serverless团队
2021/09/15
7.2K0
7.6 内部函数和外部函数
c++编程算法其他
2、对变量而言,声明与定义的关系稍微复杂一些。在声明部分出现的变量有两种情况:一种是需要建立存储空间的,另一种是不需要建立存储空间的。前者称为定义性声明,简称定义;后者称为引用性声明。
小林C语言
2019/07/12
1.1K0
Hive 内部表和外部表
大数据hive
这里创建了表page_view,有表的注释,一个字段ip的注释,分区有两列,分别是dt和country。ROW FORMAT DELIMITED关键字,是用来设置创建的表在加载数据的时候,支持的列分隔符。不同列之间用一个\001分割,
大数据工程师-公子
2019/03/13
9950
Hive 内部表和外部表
6.8 内部函数和外部函数
c++其他
解释:只能被本文件中其他函数所调用,在定义内部函数时,在函数名和函数类型的前面加static,所以内部函数又称静态函数
小林C语言
2019/08/19
7700
腾讯加入专利保护社区OIN 为造福全球终端用户贡献力量
开源linux
12月14日,腾讯宣布加入专利保护社区 OIN 。作为社区会员,腾讯正在兑现其对开源软件的承诺,并力求为造福全球终端用户贡献力量。 OIN 首席执行官 Keith Bergelt 表示:“腾讯是‘微信/WeChat’和‘QQ’等创新型数字技术解决方案的行业领导者和全球先驱。它既尽力推动开源项目,也在其业务中利用开源软件。对于腾讯加入 OIN 并兑现其在开源领域进行创新和不侵犯专利的承诺,我们非常欣赏。” 目前,腾讯全球专利申请量超25000件,互联网公司中仅次于谷歌。腾讯知识产权部总经理徐炎表示:“腾讯致
腾讯开源
2018/12/14
6550
腾讯加入专利保护社区OIN 为造福全球终端用户贡献力量
java 内部类 静态内部类_java外部类和内部类
https网络安全javac++
今天我们分析内部类和静态内部类的区别,首先我们写一个InnerClassTest类,其中有一个内部类InnerClass和静态内部类StaticInnerClass。
全栈程序员站长
2022/11/07
7540
Android | 图解外部存储和内部存储
数据库sql存储
Android中根据数据是否为应用私有、是否需要给外部应用暴露以及数据的大小可以有以下几种选择:
岛哥的质量效能笔记
2021/08/18
7310
Android | 图解外部存储和内部存储
使用开源 MaxKey 与 APISIX 网关保护你的 API
访问管理apachehttphttpsapi
Apache APISIX 是 Apache 软件基金会下的云原生 API 网关,它兼具动态、实时、高性能等特点,提供了负载均衡、动态上游、灰度发布(金丝雀发布)、服务熔断、身份认证、可观测性等丰富的流量管理功能。我们可以使用 Apache APISIX 来处理传统的南北向流量,也可以处理服务间的东西向流量。同时,它也支持作为 K8s Ingress Controller 来使用。
MaxKey单点登录开源官方
2023/02/17
2.8K0
使用开源 MaxKey 与 APISIX 网关保护你的 API
7.6 C语言内部函数和外部函数
c++编程算法c 语言其他
2、对变量而言,声明与定义的关系稍微复杂一些。在声明部分出现的变量有两种情况:一种是需要建立存储空间的,另一种是不需要建立存储空间的。前者称为定义性声明,简称定义;后者称为引用性声明。
小林C语言
2020/12/07
1.4K0
7.6 C语言内部函数和外部函数
hive 内部表和外部表的区别
大数据hivehtml存储
未被 external 修饰的是内部表(managed table),被 external 修饰的为外部表 (external table)
Maynor
2022/05/08
1.3K0
API网关
dubbohttpajax微服务
假设你正在开发一个电商网站,那么这里会涉及到很多后端的微服务,比如会员、商品、推荐服务等等。
chenchenchen
2019/09/03
3.1K0
API网关
将内部类写为static的可以实现和外部类相同的调用方式
ide打包
代码中刻意地定义了两个静态类型相同但实际类型不同的变量,但虚拟机(准确地说是编译器)在重载时是通过参数的静态类型而不是实际类型作为判定依据的。并且静态类型是编译期可知的,因此,在编译阶段,Javac编译器会根据参数的静态类型决定使用哪个重载版本,所以选择了sayHello(Human)作为调用目标,并把这个方法的符号引用写到main()方法里的两条invokevirtual指令的参数中。
用户7999227
2021/10/08
3960
逆向 AWS API 设计
api
云计算爱好者
2017/12/20
9680
API 网关 ( API gateway )
apiAPI 网关nginx微服务
在 IOT ( 物联网 )中,当我们的一些设备。例如( 监控、传感器等 )需要将收集到的数据和信息进行汇总时,我们就需要一个 API 网关来接收从千百个终端发出的请求,它实现对外统一接口,对内进行负载均衡的功能。极大的方便了 API系统 的开发与维护。如果有需要,API 网关也可以根据各终端使用的不同通信协议来进行协议适配,从而方便应用层进行数据采集和分析。
拿我格子衫来
2022/01/24
5.5K0
API 网关 ( API gateway )
利用腾讯云API网关和云函数来保护CDN流量不被恶意刷量
cdnAPI 网关云函数
CDN的被刷流量一直是很多站长头疼的问题,一旦被刷流量, 只需要一晚上就能产生少则几百多则上万的账单。由于自己博客的图片用的也是腾讯云的COS+CDN,为了防止“睡了一晚上,早上起来房子归腾讯了”的情况发生,所以就一直在思考怎么解决这个问题,要不然哪一天被恶意刷了流量,房东可不会让我卖他的房子的。
李小飞
2021/09/01
8.4K6
利用腾讯云API网关和云函数来保护CDN流量不被恶意刷量
认证鉴权也可以如此简单—使用API网关保护你的API安全
apiAPI 网关微服务云计算数据安全
随着企业数字化进程的发展,企业正在大量使用 API 来连接服务和传输数据,API 在带来巨大便利的同时也带来了新的安全问题,被攻击的 API 可能导致重要数据泄漏并对企业业务造成毁灭性影响。因此,API 安全正受到业界和学术界的广泛关注。
克莱尔小熊
2021/12/26
10.6K2
认证鉴权也可以如此简单—使用API网关保护你的API安全
api网关和前端网关是什么,有什么作用
网站数据库sqlapi
我们为了能够将数据库和在线浏览访问融为一体,利用各种协议来连接它们,已经成为一种常态了。但是他们当中有一个非常重要的东西在帮助我们完成这一系列操作那就是API网关,我们使用客户端发起请求之后,通过网关连接数据库已经不是什么新鲜的事儿了?但是api网关和前端网关的一些功能和用途包括前端网关的一些变化确是很多朋友不了解的。
用户8715145
2021/10/15
2.5K0
API 网关
rpcAPI 网关apihttp
API 网关可以看做是系统与外界联通的入口,我们可以在网关处理一些非业务逻辑的逻辑,比如权限验证,监控,缓存,请求路由等等。
happyJared
2019/12/11
1.9K0
点击加载更多

相似问题

保护内部AWS API网关不受访问

118

保护AWS API网关

20

内部和外部网关API方法

13

AWS API网关保护端点

10

如何用认知保护AWS API网关?

12
添加站长 进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

扫码加入开发者社群
关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

扫码关注腾讯云开发者公众号
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档