本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 API Gateway 主控台為 REST API 設定跨帳戶的 Amazon Cognito 授權方
<a name="apigateway-cross-account-cognito-authorizer"></a>

您現在可以使用來自不同 AWS 帳戶的 Amazon Cognito 使用者集區做為您的 API 授權方。Amazon Cognito 使用者集區可以使用承載字符身分驗證政策，例如 OAuth 或 SAML。這可讓您輕鬆集中管理並跨多個 API Gateway API 共用一個中央 Amazon Cognito 使用者集區授權方。

在本節中，我們示範如何使用 Amazon API Gateway 主控台設定跨帳戶的 Amazon Cognito 使用者集區。

這些指示假設您在一個 AWS 帳戶中已有 API Gateway API，而另一個帳戶中已有 Amazon Cognito 使用者集區。

## 為 REST API 設定跨帳戶 Amazon Cognito 授權方
<a name="apigateway-configure-cross-account-cognito-authorizer"></a>

在您 API 所在的帳戶中，登入 Amazon API Gateway 主控台，然後執行下列操作：

1. 在 API Gateway 中建立新的 API 或選取現有的 API。

1. 在主導覽窗格中，選擇**授權方**。

1. 選擇**建立授權方**。

1. 若要設定新的授權方使用使用者集區，請執行下列操作：

   1.  針對**授權方名稱**，輸入名稱。

   1. 針對**授權方類型**，選取 **Cognito**。

   1. 針對 **Cognito 使用者集區**，輸入您在第二個帳戶中擁有之使用者集區的完整 ARN。
**注意**  
在 Amazon Cognito 主控台中，您可以在 **General Settings (一般設定)** 窗格的 **Pool ARN (集區 ARN)** 欄位中找到適用於您使用者集區的 ARN。

   1.  針對**權杖來源**，輸入 **Authorization** 作為標頭名稱，以在使用者成功登入時，傳遞 Amazon Cognito 傳回的身分或存取權杖。

   1. (選用) 在**權杖驗證**欄位中輸入規則表達式，以驗證身分權杖的 `aud` (對象) 欄位，再透過 Amazon Cognito 授權請求。請注意，當使用存取字符時，由於存取字符不包含該 `aud` 字段，所以此驗證拒絕該請求。

   1. 選擇**建立授權方**。