Création de magasins de politiques d'autorisations vérifiées

Pour créer un magasin de politiques à l'aide de la méthode de configuration guidée

L'assistant de configuration guidée vous guide tout au long du processus de création de la première itération de votre magasin de politiques. Vous allez créer un schéma pour votre premier type de ressource, décrire les actions applicables à ce type de ressource et le type principal pour lequel vous accordez des autorisations. Vous allez ensuite créer votre première politique. Une fois que vous aurez terminé cet assistant, vous serez en mesure d'ajouter des éléments à votre magasin de politiques, d'étendre le schéma pour décrire d'autres types de ressources et de principaux types, et de créer des politiques et des modèles supplémentaires.

1. Dans la console des autorisations vérifiées, sélectionnez Créer un nouveau magasin de politiques.

2. Dans la section Options de démarrage, choisissez Configuration guidée.

3. Entrez une description du Policy Store. Ce texte peut être celui qui convient à votre organisation en tant que référence conviviale au fonctionnement du magasin de politiques actuel, par exemple les mises à jour météorologiques.

4. Dans la section Détails, saisissez un espace de noms pour votre schéma.

5. Choisissez Suivant.

6. Dans la fenêtre Type de ressource, saisissez le nom de votre type de ressource.

7. (Facultatif) Choisissez Ajouter un attribut pour ajouter des attributs de ressource. Entrez le nom de l'attribut et choisissez un type d'attribut pour chaque attribut de la ressource. Choisissez si chaque attribut est obligatoire. Verified Permissions utilise les valeurs d'attribut spécifiées lors de la vérification des politiques par rapport au schéma. Pour supprimer un attribut ajouté pour le type de ressource, choisissez Supprimer à côté de l'attribut.

8. Dans le champ Actions, saisissez les actions à autoriser pour le type de ressource spécifié. Pour ajouter des actions supplémentaires pour le type de ressource, choisissez Ajouter une action. Pour supprimer une action ajoutée pour le type de ressource, choisissez Supprimer à côté de l'action.

9. Dans le champ Nom du type principal, tapez le nom d'un type de principal qui utilisera les actions spécifiées pour votre type de ressource.

10. Choisissez Suivant.

11. Dans la fenêtre Type principal, choisissez la source d'identité pour votre type principal.

    • Choisissez Personnalisé si l'identifiant et les attributs du principal seront fournis directement par votre application d'autorisations vérifiées. Choisissez Ajouter un attribut pour ajouter des attributs principaux. Tapez le nom de l'attribut et choisissez un type d'attribut pour chaque attribut du principal. Verified Permissions utilise les valeurs d'attribut spécifiées lors de la vérification des politiques par rapport au schéma. Pour supprimer un attribut qui a été ajouté pour le type principal, choisissez Supprimer à côté de l'attribut.

    • Choisissez le groupe d'utilisateurs Cognito si l'identifiant et les attributs du principal seront fournis à partir d'un identifiant ou d'un jeton d'accès généré par Amazon Cognito. Choisissez Connect user pool. Sélectionnez Région AWSet saisissez l'ID du groupe d'utilisateurs Amazon Cognito auquel vous souhaitez vous connecter. Choisissez Se connecter. Pour plus d'informations, consultez la section Autorisation avec autorisations vérifiées par Amazon dans le guide du développeur Amazon Cognito.

12. Choisissez Suivant.

13. Dans la section Détails du contrat, saisissez une description facultative du contrat pour votre premier contrat Cedar.

14. Dans le champ Champ d'application des principes, choisissez les principaux auxquels la politique accordera des autorisations.

    • Choisissez Spécific principal pour appliquer la politique à un principal spécifique. Choisissez le principal dans le champ Principal qui sera autorisé à prendre des mesures et saisissez un identifiant d'entité pour le principal.

    • Choisissez Tous les principaux pour appliquer la politique à tous les principaux de votre magasin de polices.

15. Dans le champ Champ d'application des ressources, choisissez les ressources sur lesquelles les principaux spécifiés seront autorisés à agir.

    • Choisissez Ressource spécifique pour appliquer la politique à une ressource spécifique. Choisissez la ressource dans le champ Ressource à laquelle cette politique doit s'appliquer et saisissez un identifiant d'entité pour la ressource.

    • Choisissez Toutes les ressources pour appliquer la politique à toutes les ressources de votre magasin de politiques.

16. Dans le champ Champ d'application des actions, choisissez les actions que les principaux spécifiés seront autorisés à effectuer.

    • Choisissez un ensemble d'actions spécifique pour appliquer la politique à des actions spécifiques. Cochez les cases à côté des actions dans le champ Actions auxquelles cette politique doit s'appliquer.

    • Choisissez Toutes les actions pour appliquer la politique à toutes les actions de votre magasin de politiques.

17. Passez en revue la politique dans la section Aperçu de la politique. Choisissez Create Policy Store.

Pour créer un magasin de politiques à l'aide de la méthode Set up with API Gateway et d'une source d'identité

L'option API Gateway assure la sécurité APIs grâce à des politiques d'autorisations vérifiées conçues pour prendre des décisions d'autorisation à partir de groupes ou de rôles d'utilisateurs. Cette option crée un magasin de politiques pour tester l'autorisation avec des groupes de sources d'identité et API avec un autorisateur Lambda.

Les utilisateurs et leurs groupes dans un IdP deviennent soit vos principaux (jetons d'identification), soit votre contexte (jetons d'accès). Les méthodes et les chemins d'une API passerelle API deviennent les actions autorisées par vos politiques. Votre application devient la ressource. À la suite de ce flux de travail, Verified Permissions crée un magasin de politiques, une fonction Lambda et un autorisateur LambdaAPI. Vous devez attribuer l'autorisateur Lambda à votre place une API fois ce flux de travail terminé.

1. Dans la console des autorisations vérifiées, sélectionnez Créer un nouveau magasin de politiques.

2. Dans la section Options de démarrage, choisissez Configurer avec une API passerelle et une source d'identité, puis sélectionnez Suivant.

3. À l'étape Importer des ressources et des actions API, sous, choisissez API celle qui servira de modèle pour les ressources et les actions de votre magasin de politiques.

   1. Choisissez une étape de déploiement parmi les étapes configurées dans votre API et sélectionnez Importer API. Pour plus d'informations sur API les étapes, consultez la section Configuration d'une étape pour un REST API dans le manuel Amazon API Gateway Developer Guide.

   2. Prévisualisez votre carte des ressources et des actions importées.

   3. Pour mettre à jour les ressources ou les actions, modifiez vos API chemins ou méthodes et sélectionnez Importer API.

   4. Lorsque vous êtes satisfait de vos choix, choisissez Next.

4. Dans Source d'identité, choisissez un type de fournisseur d'identité. Vous pouvez choisir un groupe d'utilisateurs Amazon Cognito ou un type d'IdP OpenID Connect (). OIDC

5. Si vous avez choisi Amazon Cognito :

   1. Choisissez un groupe d'utilisateurs identique à celui Région AWS de Compte AWS votre magasin de polices.

   2. Choisissez le type de jeton à transmettre API que vous souhaitez soumettre pour autorisation. L'un ou l'autre type de jeton contient des groupes d'utilisateurs, qui constituent la base de ce modèle d'autorisation API lié.

   3. Dans le cadre de la validation du client d'application, vous pouvez limiter l'étendue d'un magasin de politiques à un sous-ensemble des clients de l'application Amazon Cognito d'un groupe d'utilisateurs multi-locataires. Pour demander à l'utilisateur de s'authentifier auprès d'un ou de plusieurs clients d'applications spécifiques de votre groupe d'utilisateurs, sélectionnez Accepter uniquement les jetons avec le client IDs d'application attendu. Pour accepter tout utilisateur qui s'authentifie auprès du groupe d'utilisateurs, sélectionnez Ne pas valider le client IDs de l'application.

   4. Choisissez Suivant.

6. Si vous avez choisi OIDCle fournisseur :

   1. Dans Émetteur URL, saisissez le nom URL de votre OIDC émetteur. Il s'agit du point de terminaison du service qui fournit le serveur d'autorisation, les clés de signature et d'autres informations sur votre fournisseur, par exemplehttps://auth.example.com. Votre émetteur URL doit héberger un document de OIDC découverte à /.well-known/openid-configuration l'adresse.

   2. Dans Type de jeton, choisissez le type de jeton OIDC JWT que vous souhaitez que votre demande soumette pour autorisation. Pour de plus amples informations, veuillez consulter Associer les jetons du fournisseur d'identité au schéma.

   3. Dans Token claims, choisissez la manière dont vous souhaitez configurer les attributs utilisateur dans votre magasin de polices. Ces attributs définissent les demandes auxquelles vos politiques peuvent faire référence.

      1. Choisissez une source de réclamation.

         1. Pour fournir un exemple de jeton, choisissez Extraire de la JWT charge utile et collez la charge utile d'un JWT type de jeton que vous avez choisi. JWTscontiennent un en-tête, une charge utile et une signature. Votre échantillon JWT doit être décodé et uniquement destiné à la charge utile. Pour analyser la charge utile, sélectionnez Extraire.

         2. Pour saisir votre propre ensemble d'attributs, choisissez Saisir les demandes manuellement.

      2. Entrez ou confirmez le nom de chaque demande de jeton et le type de valeur de réclamation que vous souhaitez ajouter aux attributs du principal utilisateur ou au contexte d'action de votre schéma.

   4. Dans Réclamations d'utilisateur et de groupe, choisissez une réclamation d'utilisateur pour la source d'identité. Il s'agit généralement sub d'une réclamation provenant de votre identifiant ou de votre jeton d'accès contenant l'identifiant unique de l'entité à évaluer. Les identités de l'OIDCIdP connecté seront mappées au type d'utilisateur dans votre magasin de politiques.

   5. Dans Réclamations d'utilisateurs et de groupes, choisissez une réclamation de groupe pour la source d'identité. Il s'agit généralement groups d'une réclamation provenant de votre identifiant ou de votre jeton d'accès qui contient une liste des groupes d'utilisateurs. Votre magasin de polices autorisera les demandes en fonction de l'appartenance au groupe.

   6. Dans Validation de l'audience ou Client IDs, entrez le client IDs ou l'audience URLs que vous souhaitez que votre magasin de politiques accepte dans les demandes d'autorisation, le cas échéant. Pour les jetons d'accès, entrez une valeur de réclamation d'audience telle quehttps://myapp.example.com. Pour les jetons d'identification, entrez un identifiant client tel que1example23456789.

   7. Choisissez Suivant.

7. Si vous avez choisi Amazon Cognito, Verified Permissions interroge votre groupe d'utilisateurs pour trouver des groupes. Pour les OIDC fournisseurs, entrez les noms des groupes manuellement. L'étape Attribuer des actions aux groupes crée des politiques pour votre magasin de politiques qui permettent aux membres du groupe d'effectuer des actions.

   1. Choisissez ou ajoutez les groupes que vous souhaitez inclure dans vos politiques.

   2. Attribuez des actions à chacun des groupes que vous avez sélectionnés.

   3. Choisissez Suivant.

8. Dans Déployer l'intégration de l'application, passez en revue les étapes que Verified Permissions effectuera pour créer votre magasin de politiques et votre autorisateur Lambda.

9. Lorsque vous êtes prêt à créer les nouvelles ressources, choisissez Créer et déployer.

10. Gardez l'étape d'état du magasin Policy ouverte dans votre navigateur pour suivre la progression de la création des ressources par le biais d'autorisations vérifiées.

11. Après un certain temps, généralement environ une heure, ou lorsque l'étape Déployer l'autorisateur Lambda indique Success, configurez votre autorisateur.

    Les autorisations vérifiées auront créé une fonction Lambda et un autorisateur Lambda dans votre. API Choisissez Ouvrir API pour accéder à votreAPI.

    Pour savoir comment attribuer un autorisateur Lambda, consultez la section Utiliser les autorisateurs API Lambda Gateway dans le manuel Amazon Gateway Developer Guide. API

    1. Accédez à Autorisateurs pour vous API et notez le nom de l'autorisateur créé par Verified Permissions.

    2. Accédez à Ressources et sélectionnez une méthode de haut niveau dans votreAPI.

    3. Sélectionnez Modifier dans les paramètres de demande de méthode.

    4. Configurez le nom de l'autorisateur comme indiqué précédemment.

    5. Développez les en-têtes de HTTP demande, entrez un nom ouAUTHORIZATION, puis sélectionnez Obligatoire.

    6. Déployez la API scène.

    7. Enregistrez vos modifications.

12. Testez votre autorisateur avec un jeton de groupe d'utilisateurs du type de jeton que vous avez sélectionné à l'étape Choisir une source d'identité. Pour plus d'informations sur la connexion au groupe d'utilisateurs et la récupération de jetons, consultez le flux d'authentification du groupe d'utilisateurs dans le manuel Amazon Cognito Developer Guide.

13. Testez à nouveau l'authentification avec un jeton de groupe d'utilisateurs dans l'AUTHORIZATIONen-tête d'une demande adressée à votreAPI.

14. Examinez votre nouveau magasin de polices. Ajoutez et affinez des politiques.

Pour créer un magasin de politiques à l'aide de la méthode de configuration Sample Policy Store

1. Dans la section Options de démarrage, sélectionnez Sample policy store.

2. Dans la section Exemple de projet, choisissez le type d'exemple d'application d'autorisations vérifiées à utiliser.

   • PhotoFlashest un exemple d'application Web destinée aux clients qui permet aux utilisateurs de partager des photos et des albums individuels avec des amis. Les utilisateurs peuvent définir des autorisations précises sur les personnes autorisées à consulter, commenter et partager à nouveau leurs photos. Les titulaires de comptes peuvent également créer des groupes d'amis et organiser les photos dans des albums.

   • DigitalPetStoreest un exemple d'application où n'importe qui peut s'inscrire et devenir client. Les clients peuvent ajouter des animaux de compagnie à vendre, rechercher des animaux de compagnie et passer des commandes. Les clients qui ont ajouté un animal de compagnie sont enregistrés en tant que propriétaire de l'animal. Les propriétaires d'animaux peuvent mettre à jour les informations de leur animal, télécharger une photo de l'animal ou supprimer la liste des animaux. Les clients qui ont passé une commande sont enregistrés en tant que propriétaires de la commande. Les propriétaires de la commande peuvent obtenir des informations sur la commande ou l'annuler. Les gérants des animaleries ont un accès administratif.

     Note

     Le magasin DigitalPetStored'exemples de politiques n'inclut pas de modèles de politiques. Les magasins de politiques PhotoFlashet TinyTodod'exemples incluent des modèles de politiques.

   • TinyTodoest un exemple d'application qui permet aux utilisateurs de créer des tâches et des listes de tâches. Les propriétaires de listes peuvent gérer et partager leurs listes et spécifier qui peut consulter ou modifier leurs listes.

3. Un espace de noms pour le schéma de votre exemple de magasin de politiques est automatiquement généré en fonction de l'exemple de projet que vous avez choisi.

4. Choisissez Create Policy Store.

   Votre magasin de politiques est créé avec des politiques et un schéma pour l'exemple de magasin de politiques que vous avez choisi. Pour plus d'informations sur les politiques liées à des modèles que vous pouvez créer pour les exemples de magasins de politiques, consultez. Exemples de politiques liées à un modèle d'autorisations Amazon Verified

Pour créer un magasin de politiques à l'aide de la méthode de configuration Empty policy store

1. Dans la section Options de démarrage, choisissez Empty policy store.

2. Choisissez Create Policy Store.