如何在使用 Amazon Cognito 进行身份验证时公开访问 AWS AppSync GraphQL API？

Question

目前我正在使用 Amazon Cognito 在 AWS Amplify 项目中进行身份验证，因此只有登录用户才能访问 api。 但我想公开一些 api 调用。

我该怎么做？

Answer 1

对于 AppSync APIs - API 密钥被认为是 "unauthenticated"

请参阅以下文档： https://docs.aws.amazon.com/appsync/latest/devguide/security.html#api-key-authorization

Answer 2

我刚刚解决了这个完全相同的问题。这就是我所做的：

1. 通过 运行 amplify update auth 和 select IAM 更新您的 API 作为您的用户处理程序（其他一切都默认）

2. 登录您的 AWS 控制台 -> Appsync 并修改对 IAM（而不是 Cognito 池）的访问

3. 转到 IAM 控制台并为 AUTH 和 UNAUTH 用户创建 IAM 策略（通过键入您的 Appsync 应用程序的名称在列表中搜索它们）

找到 AUTH 用户并附上以下政策（用您的信息更新它）：

授权用户

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appsync:GraphQL",
            "Resource": [
                "arn:aws:appsync:<AWS region>:<AWS account ID>:apis/<app sync endpoint ID>/*"
            ]
        }
    ]
}

找到未经授权的用户并附加以下策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appsync:GraphQL",
            "Resource": [
                "arn:aws:appsync:<AWS region>:<AWS account ID>:apis/<app sync endpoint ID>/types/Query/fields/<your Query name>",
        "arn:aws:appsync:<AWS region>:<AWS account ID>:apis/<app sync endpoint ID>/types/Query/fields/<your Query name>",
        "arn:aws:appsync:<AWS region>:<AWS account ID>:apis/<app sync endpoint ID>/types/Query/fields/<your Query name>"

            ]
        }
    ]
}

4. 现在没有记录的事情（人们从 Cognito Pools 过渡到 IAM）你需要导入 {AUTH_TYPE}

import AWSAppSyncClient, {AUTH_TYPE} from "aws-appsync";

并使用它在 AppSync 初始化中加载凭据

const client = new AWSAppSyncClient(
  {
    disableOffline: true,
    url: aws_config.aws_appsync_graphqlEndpoint,
    region: aws_config.aws_cognito_region,
    auth: {
      // IAM
      type: AUTH_TYPE.AWS_IAM,
      credentials: () => Auth.currentCredentials(),
    });

希望这对您有所帮助。