22.2. Sécurité dans API Gateway : autorisation dans API Gateway

Página 75

22.2. Sécurité dans API Gateway : autorisation dans API Gateway

La sécurité est un élément crucial de toute application, et lorsque nous parlons d'API, ce n'est pas différent. L'autorisation dans API Gateway est un élément essentiel pour garantir que seuls les utilisateurs autorisés ont accès aux ressources API. Dans ce chapitre, nous explorerons en profondeur la sécurité dans API Gateway, en mettant l'accent sur l'autorisation.

Qu'est-ce que l'autorisation dans API Gateway ?

L'autorisation dans API Gateway est le processus permettant de déterminer ce qu'un utilisateur authentifié peut faire. Par exemple, un utilisateur authentifié peut avoir l'autorisation de créer, lire, mettre à jour et supprimer des ressources (CRUD) dans une API, tandis qu'un autre utilisateur peut disposer uniquement d'autorisations de lecture.

AWS API Gateway propose plusieurs options de contrôle d'accès, notamment AWS Identity and Access Management (IAM), les autorisations Lambda (anciennement appelées autorisations personnalisées) et les groupes d'utilisateurs Amazon Cognito.

Autorisation avec AWS IAM

AWS IAM est un service qui vous aide à contrôler l'accès aux ressources AWS. Avec IAM, vous pouvez créer et gérer des utilisateurs et des groupes AWS, et utiliser des autorisations pour autoriser ou refuser l'accès aux ressources AWS.

Pour utiliser IAM avec API Gateway, vous devez d'abord créer une stratégie IAM qui accorde les autorisations nécessaires pour appeler des opérations d'API. Vous attachez ensuite cette stratégie à un utilisateur, un groupe ou un rôle IAM. Lorsqu'un client effectue un appel API, API Gateway vérifie que l'appelant dispose des informations d'identification requises et que la stratégie IAM associée autorise l'appel.

Autorisation avec les autorisateurs Lambda

Les mécanismes d'autorisation Lambda sont des fonctions Lambda que vous créez pour contrôler l'accès à vos API. Lorsqu'un client envoie une requête à une API avec un mécanisme d'autorisation Lambda, ce dernier exécute la logique d'autorisation que vous avez définie pour déterminer si l'appelant est autorisé à invoquer. l'API.

Les mécanismes d'autorisation Lambda renvoient les stratégies d'autorisation utilisées par API Gateway pour autoriser ou refuser l'accès à l'API. Vous pouvez créer des autorisations Lambda qui autorisent l'accès en fonction de jetons d'identité (par exemple, un jeton JWT émis par un fournisseur d'identité), ou vous pouvez créer des autorisations Lambda qui autorisent l'accès en fonction de demandes d'autorisation personnalisées.

Autorisation avec les groupes d'utilisateurs Amazon Cognito

Les groupes d'utilisateurs Amazon Cognito sont un service qui vous aide à gérer les utilisateurs et leurs authentifications. Avec les pools d'utilisateurs, vous pouvez créer un répertoire d'utilisateurs pour votre application, permettre aux utilisateurs de s'inscrire et de se connecter, et de récupérer des jetons pour les utilisateurs.

Pour utiliser des groupes d'utilisateurs avec API Gateway, vous devez d'abord créer un groupe d'utilisateurs et configurer API Gateway pour utiliser le groupe d'utilisateurs en tant qu'autorisateur. Lorsqu'un client effectue un appel API, API Gateway vérifie que le jeton de l'utilisateur est valide et que l'utilisateur est autorisé à effectuer l'appel.

Conclusion

En résumé, l'autorisation dans API Gateway est un élément essentiel de la sécurité des API. Que vous utilisiez IAM, des mécanismes d'autorisation Lambda ou des groupes d'utilisateurs, il est important que vous configuriez correctement l'autorisation pour protéger vos ressources API. N'oubliez pas que la sécurité est un aspect continu du développement logiciel et doit être prise en compte à chaque étape du cycle de vie du développement.

Page suivante de lebook gratuit :

7622.3. Sécurité API Gateway : gestion des clés API