# Amazon API Gateway 如何与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理对 API Gateway 的访问权限之前，您应该了解哪些 IAM 功能可用于 API Gateway。要大致了解 API Gateway 和其他AWS服务如何与 IAM 一起使用，请参阅 *IAM 用户指南*中的[与 IAM 一起使用的AWS服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [

## API Gateway 基于身份的策略
](#security_iam_service-with-iam-id-based-policies)
+ [

## API Gateway 基于资源的策略
](#security_iam_service-with-iam-resource-based-policies)
+ [

## 基于 API Gateway 标签的授权
](#security_iam_service-with-iam-tags)
+ [

## API Gateway IAM 角色
](#security_iam_service-with-iam-roles)

## API Gateway 基于身份的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。API Gateway 支持特定的操作、资源和条件键。有关 API Gateway 特定的操作、资源和条件键的更多信息，请参阅 [Amazon API Gateway Management 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagement.html)和 [Amazon API Gateway Management V2 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonapigatewaymanagementv2.html)。如需在 JSON 策略中使用的所有元素，请参阅 *IAM 用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

以下示例显示了一个基于身份的策略，该策略允许用户仅创建或更新私有 REST API。有关更多示例，请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ScopeToPrivateApis",
      "Effect": "Allow",
      "Action": [
        "apigateway:PATCH",
        "apigateway:POST",
        "apigateway:PUT"
      ],
      "Resource": [
        "arn:aws:apigateway:us-east-1::/restapis",
        "arn:aws:apigateway:us-east-1::/restapis/??????????"
      ],
      "Condition": {
        "ForAllValues:StringEqualsIfExists": {
          "apigateway:Request/EndpointType": "PRIVATE",
          "apigateway:Resource/EndpointType": "PRIVATE"
        }
      }
    },
    {
      "Sid": "AllowResourcePolicyUpdates",
      "Effect": "Allow",
      "Action": [
          "apigateway:UpdateRestApiPolicy"
      ],
      "Resource": [
          "arn:aws:apigateway:us-east-1::/restapis/*"
      ]
    }
  ]
}
```

------

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。

API Gateway 中的策略操作在操作前面使用以下前缀：`apigateway:`。策略语句必须包含 `Action` 或 `NotAction` 元素。API Gateway 定义了一组自己的操作，以描述您可以使用该服务执行的任务。



API 管理的 `Action` 表达式的格式为 `apigateway:action`，其中 *action* 是以下 API Gateway 操作之一：**GET**、**POST**、**PUT**、**DELETE**、**PATCH**（用于更新资源）或 **\$1**（即前面的所有操作）。

`Action` 表达式的一些示例包括：
+ **apigateway:\$1**，表示所有 API Gateway 操作。
+ **apigateway:GET**，仅表示 API Gateway 中的 GET 操作。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "apigateway:action1",
      "apigateway:action2"
```

有关用于特定 API Gateway 操作的 HTTP 动词的信息，请参阅 [Amazon API Gateway 第 1 版 API 参考](https://docs.aws.amazon.com/apigateway/api-reference/) (REST API) 和 [ Amazon API Gateway 第 2 版 API 参考](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/api-reference.html)（WebSocket 和 HTTP API）。

有关更多信息，请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符（\$1）来指示此语句应用于所有资源。

```
"Resource": "*"
```



API Gateway 资源具有以下 ARN 格式：

```
arn:aws:apigateway:region::resource-path-specifier
```

例如，要指定带有 id *`api-id`* 及其子资源的 REST API（例如语句中的授权方），请使用以下 ARN：

```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/api-id/*"
```

要指定属于特定账户的所有 REST API 和子资源，请使用通配符 (\$1)：

```
"Resource": "arn:aws:apigateway:us-east-2::/restapis/*"
```

有关 API Gateway 资源类型及其 ARN 的列表，请参阅 [API Gateway Amazon 资源名称 (ARN) 参考](arn-format-reference.md)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

API Gateway 定义了自己的一组条件键，还支持使用一些全局条件键。有关 API Gateway 条件键的列表，请参阅 *IAM 用户指南*中的 [Amazon API Gateway 的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#manageamazonapigateway-policy-keys)。有关您可以将哪些操作和资源与条件键结合使用，请参阅 [Amazon API Gateway 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_manageamazonapigateway.html#amazonapigateway-actions-as-permissions)。

有关标记（包括基于属性的访问控制）的信息，请参阅 [为 API Gateway 资源添加标签](apigateway-tagging.md)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



有关 API Gateway 基于身份的策略示例，请参阅 [Amazon API Gateway 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

## API Gateway 基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

基于资源的策略是 JSON 策略文档，它们指定了指定的委托人可在 API Gateway 资源上执行的操作以及在什么条件下可执行。API Gateway 对于 REST API 支持基于资源的权限策略。您可以使用资源策略来控制谁可以调用 REST API。有关更多信息，请参阅 [使用 API Gateway 资源策略控制对 API 的访问](apigateway-resource-policies.md)。

### 示例
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>

有关基于 API Gateway 资源的策略示例，请参阅 [API Gateway 资源策略示例](apigateway-resource-policies-examples.md)。

## 基于 API Gateway 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到 API Gateway 资源或将请求中的标签传递给 API Gateway。要基于标签控制访问，您需要使用 `apigateway:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 API Gateway 资源的更多信息，请参阅 [使用标签控制对 API Gateway REST API 资源的访问](apigateway-tagging-iam-policy.md)。

有关基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [使用标签控制对 API Gateway REST API 资源的访问](apigateway-tagging-iam-policy.md)。

## API Gateway IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 AWS 账户中具有特定权限的实体。

### 将临时凭证用于 API Gateway
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以使用临时凭证进行联合身份登录，担任 IAM 角色或担任跨账户角色。您可以通过调用 AWS STS API 操作（如 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)）获得临时安全凭证。

API Gateway 支持使用临时凭证。

### 服务相关角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中，并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

API Gateway 支持服务相关角色。有关创建或管理 API Gateway 服务相关角色的信息，请参阅 [使用 API Gateway 的服务相关角色](using-service-linked-roles.md)。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

服务可以代表您代入[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此服务角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中并由该账户拥有，因此管理员可以更改此角色的权限。但是，这样做可能会中断服务的功能。

API Gateway 支持服务角色。