amazon-web-services - que - how to secure aws api gateway
¿Cómo configurar un proveedor de autenticación OAuth2 con AWS API Gateway? (1)
AWS tiene una puerta de enlace API , que hace que sea bastante fácil configurar, administrar y monitorear su API. Sin embargo, la configuración de autorización de seguridad que puede establecer para los métodos de recursos está limitada a AWS-IAM (que a mi entender es una función vpn interna?).
Parece que mi investigación sobre este tema me ha estado apuntando a configurar un grupo de AWS Cognito , pero cuando configuro uno en mi consola de Aws, las opciones para los proveedores son: Amazon
, Facebook
, Google+
, Twitter
, OpenID
y Custom
. Supongo que, en ese caso, ¿usaría Custom
? Luego configure mi propia instancia de EC2 como un servidor de proveedor de autenticación OAuth2.
Dado que Oauth2 es tan popular en estos días, me sorprende que no haya un servicio de AWS para esto; parece que han usado toda la ruta OpenId o SAML. También me sorprende que falten guías sobre cómo configurar rápidamente un proveedor de Oauth2 en la nube.
Cualquier ayuda sería apreciada.
(1) ¿Desea implementar puntos finales OAuth 2.0 ( extremo de autorización y punto final de token ) en API Gateway? En otras palabras, ¿realmente desea implementar un servidor OAuth 2.0 ( RFC 6749 ) en API Gateway?
(2) ¿O desea proteger sus API web implementadas en API Gateway mediante el token de acceso OAuth 2.0?
Estas dos son cosas completamente diferentes.
Debido a que parece que desea seleccionar OAuth 2.0 en lugar de AWS-IAM, creo que lo que quería hacer es (2). Si es así, puede encontrar un ejemplo aquí: Amazon API Gateway + AWS Lambda + OAuth
Actualizado en 2016-abril-6El 11 de febrero de 2016, una entrada de blog de AWS Compute Blog , " Introducción de autorizadores personalizados en Amazon API Gateway ", anunció que Custom Authorizer se introdujo en Amazon API Gateway. Gracias a este mecanismo, una API creada en Amazon API Gateway puede delegar la validación de un token de portador (como un token OAuth o SAML) presentado por una aplicación cliente a un autorizador externo.
La forma de proteger las API creadas en Amazon API Gateway mediante tokens de acceso OAuth utilizando el nuevo mecanismo, Custom Authorier, se describe en " Amazon APi Gateway Custom Authorizer + OAuth ".
FYI:
OAuth 2.0 es un mecanismo de autorización, no de autenticación. Pero las personas a menudo usan OAuth 2.0 para la autenticación y hay muchas bibliotecas de software y servicios que usan OAuth 2.0 para la autenticación.
Cognito (Identidad) es una solución relacionada con la autenticación, no la autorización.
Custom en Cognito es un lugar para especificar los proveedores de OpenID Connect. OpenID Connect es una solución para la autenticación. Lo que complica las cosas es "OpenID Connect está construido sobre OAuth 2.0". Ver el sitio de OpenID Connect para más detalles.