Ich habe meine Richtlinie aktualisiert, aber die Autorisierungsentscheidung hat sich nicht geändert Ich habe den Lambda-Autorisierer an meinen angehängt, API aber er generiert keine Autorisierungsanfragen Ich habe eine unerwartete Autorisierungsentscheidung erhalten und möchte die Autorisierungslogik überprüfen Ich möchte Logs von meinem Lambda-Authorizer finden Mein Lambda-Autorisierer existiert nicht Mein API ist privat VPC und kann den Autorisierer nicht aufrufen Ich möchte zusätzliche Benutzerattribute in meinem Autorisierungsmodell verarbeiten Ich möchte neue Aktionen, Aktionskontext-Attribute oder Ressourcenattribute hinzufügen

Fehlerbehebung API — verknüpfte Policy-Stores

Verwenden Sie die Informationen hier, um häufig auftretende Probleme beim Erstellen von mit Amazon Verified Permissions API verknüpften Policy-Shops zu diagnostizieren und zu beheben.

Themen

Ich habe meine Richtlinie aktualisiert, aber die Autorisierungsentscheidung hat sich nicht geändert
Ich habe den Lambda-Autorisierer an meinen angehängt, API aber er generiert keine Autorisierungsanfragen
Ich habe eine unerwartete Autorisierungsentscheidung erhalten und möchte die Autorisierungslogik überprüfen
Ich möchte Logs von meinem Lambda-Authorizer finden
Mein Lambda-Autorisierer existiert nicht
Mein API ist privat VPC und kann den Autorisierer nicht aufrufen
Ich möchte zusätzliche Benutzerattribute in meinem Autorisierungsmodell verarbeiten
Ich möchte neue Aktionen, Aktionskontext-Attribute oder Ressourcenattribute hinzufügen

Ich habe meine Richtlinie aktualisiert, aber die Autorisierungsentscheidung hat sich nicht geändert

Standardmäßig konfiguriert Verified Permissions den Lambda-Autorisierer so, dass Autorisierungsentscheidungen 120 Sekunden lang zwischengespeichert werden. Versuchen Sie es nach zwei Minuten erneut, oder deaktivieren Sie den Cache auf Ihrem Authorizer. Weitere Informationen finden Sie unter Aktivieren von API Caching zur Verbesserung der Reaktionsfähigkeit im Amazon API Gateway Developer Guide.

Ich habe den Lambda-Autorisierer an meinen angehängt, API aber er generiert keine Autorisierungsanfragen

Um mit der Bearbeitung von Anfragen zu beginnen, müssen Sie die API Phase bereitstellen, an die Sie Ihren Autorisierer angehängt haben. Weitere Informationen finden Sie unter Deploying a REST API im Amazon API Gateway Developer Guide.

Ich habe eine unerwartete Autorisierungsentscheidung erhalten und möchte die Autorisierungslogik überprüfen

Der Prozess API -linked Policy Store erstellt eine Lambda-Funktion für Ihren Autorisierer. Verified Permissions integriert die Logik Ihrer Autorisierungsentscheidungen automatisch in die Autorisierungsfunktion. Nachdem Sie Ihren Richtlinienspeicher erstellt haben, können Sie zurückgehen, um die Logik in der Funktion zu überprüfen und zu aktualisieren.

Um Ihre Lambda-Funktion von der AWS CloudFormation Konsole aus zu finden, klicken Sie auf der Übersichtsseite Ihres neuen Policy-Stores auf die Schaltfläche Bereitstellung überprüfen.

Sie können Ihre Funktion auch in der AWS Lambda Konsole finden. Navigieren Sie zur Konsole in Ihrem Richtlinienspeicher und suchen Sie nach einem Funktionsnamen mit dem PräfixAVPAuthorizerLambda. AWS-Region Wenn Sie mehr als einen API verknüpften Richtlinienspeicher erstellt haben, verwenden Sie die Uhrzeit der letzten Änderung Ihrer Funktionen, um sie mit der Erstellung des Richtlinienspeichers zu korrelieren.

Ich möchte Logs von meinem Lambda-Authorizer finden

Lambda-Funktionen sammeln Metriken und protokollieren ihre Aufrufergebnisse in Amazon. CloudWatch Um Ihre Logs zu überprüfen, suchen Sie Ihre Funktion in der Lambda-Konsole und wählen Sie die Registerkarte Überwachen. Wählen Sie CloudWatch Protokolle anzeigen aus und überprüfen Sie die Einträge in der Protokollgruppe.

Weitere Informationen zu Lambda-Funktionsprotokollen finden Sie unter Using Amazon CloudWatch Logs with AWS Lambda im AWS Lambda Developer Guide.

Mein Lambda-Autorisierer existiert nicht

Nachdem Sie die Einrichtung eines API mit -verknüpften Richtlinienspeichers abgeschlossen haben, müssen Sie den Lambda-Autorisierer an Ihren anhängen. API Wenn Sie Ihren Autorisierer nicht in der API Gateway-Konsole finden können, sind die zusätzlichen Ressourcen für Ihren Richtlinienspeicher möglicherweise ausgefallen oder noch nicht bereitgestellt. API-verknüpfte Richtlinienspeicher stellen diese Ressourcen in einem AWS CloudFormation Stapel bereit.

Unter Verifizierte Berechtigungen wird am Ende des Erstellungsvorgangs ein Link mit der Bezeichnung Bereitstellung überprüfen angezeigt. Wenn Sie diesen Bildschirm bereits verlassen haben, rufen Sie die CloudFormation Konsole auf und suchen Sie in den letzten Stacks nach einem Namen, dem das Präfix vorangestellt ist. AVPAuthorizer-<policy store ID> CloudFormation bietet wertvolle Informationen zur Fehlerbehebung in der Ausgabe einer Stack-Bereitstellung.

Hilfe zur Fehlerbehebung bei CloudFormation Stacks finden Sie unter Problembehandlung CloudFormation im AWS CloudFormation Benutzerhandbuch.

Mein API ist privat VPC und kann den Autorisierer nicht aufrufen

Verified Permissions unterstützt keinen Zugriff auf Lambda-Autorisierer über Endpunkte. VPC Sie müssen einen Netzwerkpfad zwischen Ihnen API und der Lambda-Funktion öffnen, die als Ihr Autorisierer dient.

Ich möchte zusätzliche Benutzerattribute in meinem Autorisierungsmodell verarbeiten

Der Prozess mit dem API verknüpften Richtlinienspeicher leitet Richtlinien für verifizierte Berechtigungen aus dem Anspruch der Gruppe in Benutzer-Tokens ab. Um Ihr Autorisierungsmodell zu aktualisieren und zusätzliche Benutzerattribute zu berücksichtigen, integrieren Sie diese Attribute in Ihre Richtlinien.

Sie können viele Ansprüche in ID- und Zugriffstoken aus Amazon Cognito Cognito-Benutzerpools den Richtlinienerklärungen für verifizierte Berechtigungen zuordnen. Beispielsweise haben die meisten Benutzer einen email Anspruch in ihrem ID-Token. Weitere Informationen zum Hinzufügen von Ansprüchen aus Ihrer Identitätsquelle zu Richtlinien finden Sie unterZuordnen von Identitätsanbieter-Tokens zum Schema.

Ich möchte neue Aktionen, Aktionskontext-Attribute oder Ressourcenattribute hinzufügen

Ein API mit -verknüpfter Richtlinienspeicher und der Lambda-Autorisierer, den er erstellt, sind eine Ressource. point-in-time Sie spiegeln den Zustand wider, in dem Sie API sich zum Zeitpunkt der Schöpfung befanden. Das Policy Store-Schema weist Aktionen keine Kontext-Attribute und der Application Standardressource auch keine Attribute oder übergeordneten Elemente zu.

Wenn Sie Aktionen — Pfade und Methoden — zu Ihrem hinzufügen, müssen Sie Ihren Richtlinienspeicher aktualisierenAPI, damit er über die neuen Aktionen informiert ist. Sie müssen auch Ihren Lambda-Autorisierer aktualisieren, um Autorisierungsanfragen für die neuen Aktionen zu verarbeiten. Sie können mit einem neuen Richtlinienspeicher erneut beginnen oder Ihren vorhandenen Richtlinienspeicher aktualisieren.

Suchen Sie nach Ihrer Funktion, um Ihren vorhandenen Richtlinienspeicher zu aktualisieren. Untersuchen Sie die Logik in der automatisch generierten Funktion und aktualisieren Sie sie, um die neuen Aktionen, Attribute oder den Kontext zu verarbeiten. Bearbeiten Sie dann Ihr Schema so, dass es die neuen Aktionen und Attribute enthält.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Übergang zur Produktion

Policy-Stores löschen