Amazon API GatewayのIAM認証の動作を確認しました

2020/11/06 2021/10/17

API GatewayのIAM認証は、IAMユーザーが実行できるように認証する、ということはわかっていても細かい動作は手元で動かしてみないと、でしたのでやってみました。

主な手順は公式ナレッジのAPI Gateway API の IAM 認証を有効にする方法を教えてくださいを参考にしています。

API Gatewayの設定

メソッドリクエストで、[認可]に[AWS_IAM]を選択しました。
[アクション]-[APIのデプロイ]でデプロイしておきました。

そして、ブラウザからAPIの呼び出しをすると、以下のメッセージが返ってきました。

{
message: "Missing Authentication Token"
}

{

message: "Missing Authentication Token"

}

IAM

IAMユーザーは同じアカウントと別アカウントで3ユーザー作っておきます。
* api-exe-valid
* api-exe-nonvalid
* api-not-exe

各IAMユーザーの最終的なシナリオです。

IAMユーザー	IDベースのポリシー	リソース(API)ベースのポリシー	アカウント
api-exe-valid	許可	許可	別
api-exe-nonvalid	許可	なし	同
api-not-exe	なし	なし	同

IDベースのポリシーは以下をインラインポリシーに設定しました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:123456789012:apiid/prod/GET/"
            ]
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"execute-api:Invoke"

"Resource": [

"arn:aws:execute-api:us-east-1:123456789012:apiid/prod/GET/"

]

}

]

}

ARNは、API Gatewayコンソールのリソースのメソッドリクエストにありますので、コピーして貼り付けています。

段階的に確認していきますので、まずはユーザーを作成して、APIのリソースベースのポリシーはなしで試します。

IDベースのみで確認

APIの実行確認は、POSTMANで行いました。
IAM認証によるAPIの実行には、バージョン4での署名が必要なのですが、POSTMANにアクセスキーIDとシークレットアクセスキーを設定すると、生成してくれますので便利です。

同じアカウントでIDベースのポリシーなし

api-not-exe

{
    "Message": "User: arn:aws:iam::123456789012:user/api-not-exe is not authorized to perform: execute-api:Invoke on resource: arn:aws:execute-api:us-east-1:********9012:apiid/prod/GET/"
}

{

"Message": "User: arn:aws:iam::123456789012:user/api-not-exe is not authorized to perform: execute-api:Invoke on resource: arn:aws:execute-api:us-east-1:********9012:apiid/prod/GET/"

}

IDベースのポリシーで許可していませんので、api-not-exeユーザーには権限が無いメッセージが返ってきました。
想定どおりです。

同じアカウントでIDベースのポリシーあり

api-exe-nonvalid

{
    "statusCode": 200,
    "message": "Hello from API Gateway!"
}

{

"statusCode": 200,

"message": "Hello from API Gateway!"

}

IAM認証が成功して、結果が表示されました。

違うアカウントでIDベースのポリシーあり

api-exe-valid

{
    "Message": "User: arn:aws:iam::098765432109:user/api-exe-valid is not authorized to access this resource"
}

{

"Message": "User: arn:aws:iam::098765432109:user/api-exe-valid is not authorized to access this resource"

}

リソースに対しての権限がないというメッセージが表示されました。

リソースベースのポリシーを別アカウント向けに設定して確認

APIのリソースポリシーはこのようなポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS":"arn:aws:iam::098765432109:user/api-exe-valid"
            },
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:1234566789012:apiid/prod/GET/"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"AWS":"arn:aws:iam::098765432109:user/api-exe-valid"

"Action": "execute-api:Invoke",

"Resource": "arn:aws:execute-api:us-east-1:1234566789012:apiid/prod/GET/"

}

]

}

今回は特定のIAMユーザーのみですが、対象のアカウント側に誰に許可するかを委任する場合は、 “arn:aws:iam::098765432109:root”をPrincipalにします。

違うアカウントでIDベースのポリシーあり

api-exe-valid

{
    "statusCode": 200,
    "message": "Hello from API Gateway!"
}

{

"statusCode": 200,

"message": "Hello from API Gateway!"

}

認証が成功しました。
別のアカウントからはAPIにリソースポリシーが必要ということがわかりました。

ちなみに

同じアカウントでIDベースのポリシーあり

api-exe-nonvalid

{
    "statusCode": 200,
    "message": "Hello from API Gateway!"
}

{

"statusCode": 200,

"message": "Hello from API Gateway!"

}

認証成功しました。
リソースポリシーで別アカウントのみとしたいときは拒否ポリシーも必要ですね。

ということで、リソースポリシーに拒否ポリシーを追加してNotPrincipalにしてみました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::098765432109:user/api-exe-valid"
            },
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:1234566789012:apiid/prod/GET/"
        },
        {
            "Effect": "Deny",
            "NotPrincipal": {
                "AWS": "arn:aws:iam::098765432109:user/api-exe-valid"
            },
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:1234566789012:apiid/prod/GET/"
        }
    ]
}