Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création de magasins de politiques d'autorisations vérifiées
Vous pouvez créer un magasin de règles en utilisant les méthodes suivantes :
-
Suivez une configuration guidée : vous allez définir un type de ressource avec des actions valides et un type principal avant de créer votre première politique.
-
Configuration avec API Gateway et une source d'identité : définissez vos entités principales avec les utilisateurs qui se connectent avec un fournisseur d'identité (IdP), ainsi que vos actions et entités de ressources depuis un Amazon API Gateway. API Nous recommandons cette option si vous souhaitez que votre application autorise les API demandes comportant l'appartenance à un groupe d'utilisateurs ou d'autres attributs.
-
Commencez par un exemple de magasin de politiques : choisissez un exemple de magasin de politiques de projet prédéfini. Nous recommandons cette option si vous souhaitez en savoir plus sur les autorisations vérifiées et si vous souhaitez consulter et tester des exemples de politiques.
-
Créez un magasin de politiques vide : vous définirez vous-même le schéma et toutes les politiques d'accès. Nous recommandons cette option si vous êtes déjà familiarisé avec la configuration d'un magasin de politiques.
- Guided setup
-
Pour créer un magasin de politiques à l'aide de la méthode de configuration guidée
L'assistant de configuration guidée vous guide tout au long du processus de création de la première itération de votre magasin de politiques. Vous allez créer un schéma pour votre premier type de ressource, décrire les actions applicables à ce type de ressource et le type principal pour lequel vous accordez des autorisations. Vous allez ensuite créer votre première politique. Une fois que vous aurez terminé cet assistant, vous serez en mesure d'ajouter des éléments à votre magasin de politiques, d'étendre le schéma pour décrire d'autres types de ressources et de principaux types, et de créer des politiques et des modèles supplémentaires.
-
Dans la console des autorisations vérifiées
, sélectionnez Créer un nouveau magasin de politiques. -
Dans la section Options de démarrage, choisissez Configuration guidée.
-
Entrez une description du Policy Store. Ce texte peut être celui qui convient à votre organisation comme référence conviviale au fonctionnement du magasin de politiques actuel, par exemple l'application Web Weather Updates.
-
Dans la section Détails, saisissez un espace de noms pour votre schéma. Pour plus d'informations sur les espaces de noms, consultezDéfinition de l'espace de noms.
-
Choisissez Suivant.
-
Dans la fenêtre Type de ressource, saisissez le nom de votre type de ressource. Par exemple, il
currentTemperature
peut s'agir d'une ressource pour l'application Web Weather Updates. -
(Facultatif) Choisissez Ajouter un attribut pour ajouter des attributs de ressource. Tapez le nom de l'attribut et choisissez un type d'attribut pour chaque attribut de la ressource. Choisissez si chaque attribut est obligatoire. Par exemple, il
temperatureFormat
peut s'agir d'un attribut de lacurrentTemperature
ressource et être Fahrenheit ou Celsius. Pour supprimer un attribut qui a été ajouté pour le type de ressource, choisissez Supprimer à côté de l'attribut. -
Dans le champ Actions, saisissez les actions à autoriser pour le type de ressource spécifié. Pour ajouter des actions supplémentaires pour le type de ressource, choisissez Ajouter une action. Il
viewTemperature
peut s'agir, par exemple, d'une action dans l'application Web Weather Updates. Pour supprimer une action qui a été ajoutée pour le type de ressource, choisissez Supprimer à côté de l'action. -
Dans le champ Nom du type principal, tapez le nom d'un type de principal qui utilisera les actions spécifiées pour votre type de ressource. Par défaut, l'utilisateur est ajouté à ce champ mais peut être remplacé.
-
Choisissez Suivant.
-
Dans la fenêtre Type principal, choisissez la source d'identité pour votre type principal.
-
Choisissez Personnalisé si l'identifiant et les attributs du principal seront fournis directement par votre application d'autorisations vérifiées. Choisissez Ajouter un attribut pour ajouter des attributs principaux. Verified Permissions utilise les valeurs d'attribut spécifiées lors de la vérification des politiques par rapport au schéma. Pour supprimer un attribut qui a été ajouté pour le type principal, choisissez Supprimer à côté de l'attribut.
-
Choisissez le groupe d'utilisateurs Cognito si l'identifiant et les attributs du principal seront fournis à partir d'un identifiant ou d'un jeton d'accès généré par Amazon Cognito. Choisissez Connect user pool. Sélectionnez Région AWSet saisissez l'ID du groupe d'utilisateurs Amazon Cognito auquel vous souhaitez vous connecter. Choisissez Se connecter. Pour plus d'informations, consultez la section Autorisation avec autorisations vérifiées par Amazon dans le guide du développeur Amazon Cognito.
-
Choisissez un OIDCfournisseur externe si l'identifiant et les attributs du principal seront extraits d'un identifiant et/ou d'un jeton d'accès, générés par un OIDC fournisseur externe, puis ajoutez les détails du fournisseur et du jeton.
-
-
Choisissez Suivant.
-
Dans la section Détails du contrat, saisissez une description facultative du contrat pour votre premier contrat Cedar.
-
Dans le champ Champ d'application des principes, choisissez les principaux auxquels la politique accordera des autorisations.
-
Choisissez Spécific principal pour appliquer la politique à un principal spécifique. Choisissez le principal dans le champ Principal qui sera autorisé à prendre des mesures et saisissez un identifiant d'entité pour le principal. Il
user-id
peut s'agir, par exemple, d'un identifiant d'entité dans l'application Web Weather Updates.Note
Si vous utilisez Amazon Cognito, l'identifiant de l'entité doit être formaté comme suit.
<userpool-id>|<sub>
-
Choisissez Tous les principaux pour appliquer la politique à tous les principaux de votre magasin de polices.
-
-
Dans le champ Champ d'application des ressources, choisissez les ressources sur lesquelles les principaux spécifiés seront autorisés à agir.
-
Choisissez Ressource spécifique pour appliquer la politique à une ressource spécifique. Choisissez la ressource dans le champ Ressource à laquelle cette politique doit s'appliquer et saisissez un identifiant d'entité pour la ressource. Il
temperature-id
peut s'agir, par exemple, d'un identifiant d'entité dans l'application Web Weather Updates. -
Choisissez Toutes les ressources pour appliquer la politique à toutes les ressources de votre magasin de politiques.
-
-
Dans le champ Champ d'application des actions, choisissez les actions que les principaux spécifiés seront autorisés à effectuer.
-
Choisissez un ensemble d'actions spécifique pour appliquer la politique à des actions spécifiques. Cochez les cases à côté des actions dans le champ Actions auxquelles cette politique doit s'appliquer.
-
Choisissez Toutes les actions pour appliquer la politique à toutes les actions de votre magasin de politiques.
-
-
Consultez la politique dans la section Aperçu de la politique. Choisissez Create Policy Store.
-
- Set up with API Gateway and an identity source
-
Pour créer un magasin de politiques à l'aide de la méthode Set up with API Gateway et d'une source d'identité
L'option API Gateway assure la sécurité APIs grâce à des politiques d'autorisations vérifiées conçues pour prendre des décisions d'autorisation à partir de groupes ou de rôles d'utilisateurs. Cette option crée un magasin de politiques pour tester l'autorisation avec des groupes de sources d'identité et API avec un autorisateur Lambda.
Les utilisateurs et leurs groupes dans un IdP deviennent soit vos principaux (jetons d'identification), soit votre contexte (jetons d'accès). Les méthodes et les chemins d'une API passerelle API deviennent les actions autorisées par vos politiques. Votre application devient la ressource. À la suite de ce flux de travail, Verified Permissions crée un magasin de politiques, une fonction Lambda et un autorisateur LambdaAPI. Vous devez attribuer l'autorisateur Lambda à votre place une API fois ce flux de travail terminé.
-
Dans la console des autorisations vérifiées
, sélectionnez Créer un nouveau magasin de politiques. -
Dans la section Options de démarrage, choisissez Configurer avec une API passerelle et une source d'identité, puis sélectionnez Suivant.
-
À l'étape Importer des ressources et des actions API, sous, choisissez API celle qui servira de modèle pour les ressources et les actions de votre magasin de politiques.
-
Choisissez une étape de déploiement parmi les étapes configurées dans votre API et sélectionnez Importer API. Pour plus d'informations sur API les étapes, consultez la section Configuration d'une étape pour un REST API dans le manuel Amazon API Gateway Developer Guide.
-
Prévisualisez votre carte des ressources et actions importées.
-
Pour mettre à jour les ressources ou les actions, modifiez vos API chemins ou méthodes dans la console API Gateway et sélectionnez Importer API pour voir les mises à jour.
-
Lorsque vous êtes satisfait de vos choix, choisissez Next.
-
-
Dans Source d'identité, choisissez un type de fournisseur d'identité. Vous pouvez choisir un groupe d'utilisateurs Amazon Cognito ou un type d'IdP OpenID Connect (). OIDC
-
Si vous avez choisi Amazon Cognito :
-
Choisissez un groupe d'utilisateurs Compte AWS identique Région AWS à votre magasin de politiques.
-
Choisissez le type de jeton à transmettre API que vous souhaitez soumettre pour autorisation. L'un ou l'autre type de jeton contient des groupes d'utilisateurs, qui constituent la base de ce modèle d'autorisation API lié.
-
Dans le cadre de la validation du client d'application, vous pouvez limiter la portée d'un magasin de politiques à un sous-ensemble des clients de l'application Amazon Cognito d'un groupe d'utilisateurs multi-locataires. Pour demander à l'utilisateur de s'authentifier auprès d'un ou de plusieurs clients d'applications spécifiques de votre groupe d'utilisateurs, sélectionnez Accepter uniquement les jetons avec le client IDs d'application attendu. Pour accepter tout utilisateur qui s'authentifie auprès du groupe d'utilisateurs, sélectionnez Ne pas valider le client IDs de l'application.
-
Choisissez Suivant.
-
-
Si vous avez choisi un OIDC fournisseur externe :
-
Dans Émetteur URL, saisissez le nom URL de votre OIDC émetteur. Il s'agit du point de terminaison du service qui fournit le serveur d'autorisation, les clés de signature et d'autres informations sur votre fournisseur, par exemple
https://auth.example.com
. Votre émetteur URL doit héberger un document de OIDC découverte à/.well-known/openid-configuration
l'adresse. -
Dans Type de jeton, choisissez le type de jeton OIDC JWT que vous souhaitez que votre demande soumette pour autorisation. Pour de plus amples informations, veuillez consulter Associer les jetons du fournisseur d'identité au schéma.
-
(facultatif) Dans Réclamations de jetons - facultatif, choisissez Ajouter une réclamation de jeton, entrez le nom du jeton et sélectionnez un type de valeur.
-
Dans les demandes de jetons d'utilisateur et de groupe, procédez comme suit :
-
Entrez un nom de réclamation utilisateur dans le jeton pour la source d'identité. Il s'agit généralement
sub
d'une réclamation provenant de votre identifiant ou de votre jeton d'accès contenant l'identifiant unique de l'entité à évaluer. Les identités de l'OIDCIdP connecté seront mappées au type d'utilisateur dans votre magasin de politiques. -
Entrez un nom de réclamation de groupe dans le jeton pour la source d'identité. Il s'agit généralement
groups
d'une réclamation provenant de votre identifiant ou de votre jeton d'accès qui contient une liste des groupes d'utilisateurs. Votre magasin de polices autorisera les demandes en fonction de l'appartenance au groupe.
-
-
Dans Validation de l'audience, choisissez
Add value
et ajoutez une valeur que vous souhaitez que votre magasin de politiques accepte dans les demandes d'autorisation. -
Choisissez Suivant.
-
-
Si vous avez choisi Amazon Cognito, Verified Permissions interroge votre groupe d'utilisateurs pour trouver des groupes. Pour les OIDC fournisseurs, entrez les noms des groupes manuellement. L'étape Attribuer des actions aux groupes crée des politiques pour votre magasin de politiques qui permettent aux membres du groupe d'effectuer des actions.
-
Choisissez ou ajoutez les groupes que vous souhaitez inclure dans vos politiques.
-
Attribuez des actions à chacun des groupes que vous avez sélectionnés.
-
Choisissez Suivant.
-
-
Dans Déployer l'intégration des applications, choisissez si vous souhaitez associer manuellement l'autorisateur Lambda ultérieurement ou si vous souhaitez que Verified Permissions le fasse pour vous dès maintenant et passez en revue les étapes que Verified Permissions effectuera pour créer votre magasin de politiques et votre autorisateur Lambda.
-
Lorsque vous êtes prêt à créer les nouvelles ressources, choisissez Create policy store.
-
Gardez l'étape d'état du magasin Policy ouverte dans votre navigateur pour suivre la progression de la création des ressources par le biais d'autorisations vérifiées.
-
Après un certain temps, généralement environ une heure, ou lorsque l'étape Déployer l'autorisateur Lambda indique Success, si vous avez choisi d'associer l'autorisateur manuellement, configurez votre autorisateur.
Les autorisations vérifiées auront créé une fonction Lambda et un autorisateur Lambda dans votre. API Choisissez Ouvrir API pour accéder à votreAPI.
Pour savoir comment attribuer un autorisateur Lambda, consultez la section Utiliser les autorisateurs API Lambda Gateway dans le manuel Amazon Gateway Developer Guide. API
-
Accédez à Autorisateurs pour vous API et notez le nom de l'autorisateur créé par Verified Permissions.
-
Accédez à Ressources et sélectionnez une méthode de haut niveau dans votreAPI.
-
Sélectionnez Modifier dans les paramètres de demande de méthode.
-
Définissez le nom de l'autorisateur comme indiqué précédemment.
-
Développez les en-têtes de HTTP demande, entrez un nom ou
AUTHORIZATION
, puis sélectionnez Obligatoire. -
Déployez la API scène.
-
Enregistrez vos modifications.
-
-
Testez votre autorisateur avec un jeton de groupe d'utilisateurs du type de jeton que vous avez sélectionné à l'étape Choisir une source d'identité. Pour plus d'informations sur la connexion au groupe d'utilisateurs et la récupération de jetons, consultez le flux d'authentification du groupe d'utilisateurs dans le manuel Amazon Cognito Developer Guide.
-
Testez à nouveau l'authentification avec un jeton de groupe d'utilisateurs dans l'
AUTHORIZATION
en-tête d'une demande adressée à votreAPI. -
Examinez votre nouveau magasin de polices. Ajoutez et affinez des politiques.
-
- Sample policy store
-
Pour créer un magasin de politiques à l'aide de la méthode de configuration Sample Policy Store
-
Dans la section Options de démarrage, sélectionnez Sample policy store.
-
Dans la section Exemple de projet, choisissez le type d'exemple d'application d'autorisations vérifiées à utiliser.
-
PhotoFlashest un exemple d'application Web destinée aux clients qui permet aux utilisateurs de partager des photos et des albums individuels avec des amis. Les utilisateurs peuvent définir des autorisations précises sur les personnes autorisées à voir, à commenter et à partager à nouveau leurs photos. Les titulaires de comptes peuvent également créer des groupes d'amis et organiser les photos dans des albums.
-
DigitalPetStoreest un exemple d'application où n'importe qui peut s'inscrire et devenir client. Les clients peuvent ajouter des animaux de compagnie à vendre, rechercher des animaux de compagnie et passer des commandes. Les clients qui ont ajouté un animal de compagnie sont enregistrés en tant que propriétaire de l'animal. Les propriétaires d'animaux peuvent mettre à jour les informations de leur animal, télécharger une photo de l'animal ou supprimer la liste des animaux. Les clients qui ont passé une commande sont enregistrés en tant que propriétaires de la commande. Les propriétaires de la commande peuvent obtenir des informations sur la commande ou l'annuler. Les gérants des animaleries ont un accès administratif.
Note
Le magasin DigitalPetStored'exemples de politiques n'inclut pas de modèles de politiques. Les magasins de politiques PhotoFlashet TinyTodod'exemples incluent des modèles de politiques.
-
TinyTodoest un exemple d'application qui permet aux utilisateurs de créer des tâches et des listes de tâches. Les propriétaires de listes peuvent gérer et partager leurs listes et spécifier qui peut consulter ou modifier leurs listes.
-
-
Un espace de noms pour le schéma de votre exemple de magasin de politiques est automatiquement généré en fonction de l'exemple de projet que vous avez choisi.
-
Choisissez Create Policy Store.
Votre magasin de politiques est créé avec des politiques et un schéma pour l'exemple de magasin de politiques que vous avez choisi. Pour plus d'informations sur les politiques liées à des modèles que vous pouvez créer pour les exemples de magasins de politiques, consultez. Exemples de politiques liées à un modèle d'autorisations Amazon Verified
-
- Empty policy store
-
Pour créer un magasin de politiques à l'aide de la méthode de configuration Empty policy store
-
Dans la section Options de démarrage, choisissez Empty policy store.
-
Choisissez Create Policy Store.
Un magasin de politiques vide est créé sans schéma, ce qui signifie que les politiques ne sont pas validées. Pour plus d'informations sur la mise à jour du schéma de votre magasin de politiques, consultezSchéma de la boutique Amazon Verified Permissions Policy.
Pour plus d'informations sur la création de politiques pour votre magasin de politiques, consultez Création de politiques statiques relatives aux autorisations vérifiées par Amazon etCréation de politiques liées au modèle Amazon Verified Permissions.
-
- AWS CLI
-
Pour créer un magasin de politiques vide à l'aide du AWS CLI.
Vous pouvez créer un magasin de politiques à l'aide de cette
create-policy-store
opération.Note
Un magasin de politiques que vous créez à l'aide du AWS CLI est vide.
-
Pour ajouter un schéma, voirSchéma de la boutique Amazon Verified Permissions Policy.
-
Pour ajouter des politiques, consultezCréation de politiques statiques relatives aux autorisations vérifiées par Amazon.
-
Pour ajouter des modèles de politique, consultezCréation de modèles de politique d'autorisations vérifiées par Amazon.
$
aws verifiedpermissions create-policy-store \ --validation-settings "mode=STRICT"
{ "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111", "createdDate": "2023-05-16T17:41:29.103459+00:00", "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" }
-
- AWS SDKs
-
Vous pouvez créer un magasin de règles à l'aide du
CreatePolicyStore
API. Pour plus d'informations, consultez CreatePolicyStorele guide de API référence des autorisations Amazon Verified.