Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat toko kebijakan Izin Terverifikasi
Anda dapat membuat toko kebijakan menggunakan metode berikut:
-
Ikuti pengaturan terpandu — Anda akan menentukan jenis sumber daya dengan tindakan yang valid dan tipe utama sebelum membuat kebijakan pertama Anda.
-
Siapkan dengan API Gateway dan sumber identitas — Tentukan entitas utama Anda dengan pengguna yang masuk dengan penyedia identitas (iDP), serta entitas tindakan dan sumber daya Anda dari Amazon API Gateway. API Kami merekomendasikan opsi ini jika Anda ingin aplikasi Anda mengotorisasi API permintaan dengan keanggotaan grup pengguna atau atribut lainnya.
-
Mulai dari toko kebijakan sampel — Pilih toko kebijakan proyek sampel yang telah ditentukan sebelumnya. Kami merekomendasikan opsi ini jika Anda mempelajari tentang Izin Terverifikasi dan ingin melihat dan menguji kebijakan contoh.
-
Buat toko kebijakan kosong — Anda akan menentukan skema dan semua kebijakan akses sendiri. Kami merekomendasikan opsi ini jika Anda sudah terbiasa dengan mengonfigurasi toko kebijakan.
- Guided setup
-
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyiapan Terpandu
Wizard penyiapan terpandu menuntun Anda melalui proses pembuatan iterasi pertama penyimpanan kebijakan Anda. Anda akan membuat skema untuk jenis sumber daya pertama Anda, menjelaskan tindakan yang berlaku untuk jenis sumber daya tersebut, dan jenis utama yang Anda berikan izin. Anda kemudian akan membuat kebijakan pertama Anda. Setelah menyelesaikan wizard ini, Anda akan dapat menambahkan ke toko kebijakan Anda, memperluas skema untuk menjelaskan sumber daya dan jenis utama lainnya, dan membuat kebijakan dan templat tambahan.
-
Di konsol Izin Terverifikasi
, pilih Buat toko kebijakan baru. -
Di bagian Opsi awal, pilih Pengaturan terpandu.
-
Masukkan deskripsi toko Kebijakan. Teks ini dapat berupa apa pun yang sesuai dengan organisasi Anda sebagai referensi ramah untuk fungsi toko kebijakan saat ini, misalnya aplikasi web pembaruan cuaca.
-
Di bagian Detail, ketik Namespace untuk skema Anda. Untuk informasi selengkapnya tentang ruang nama, lihat. Definisi namespace
-
Pilih Berikutnya.
-
Pada jendela Jenis sumber daya, ketikkan nama untuk jenis sumber daya Anda. Misalnya,
currentTemperature
bisa menjadi sumber daya untuk aplikasi web pembaruan Cuaca. -
(Opsional) Pilih Tambahkan atribut untuk menambahkan atribut sumber daya. Ketik nama Atribut dan pilih tipe Atribut untuk setiap atribut sumber daya. Pilih apakah setiap atribut Wajib. Misalnya,
temperatureFormat
bisa menjadi atribut untukcurrentTemperature
sumber daya dan menjadi Fahrenheit atau Celcius. Untuk menghapus atribut yang telah ditambahkan untuk jenis sumber daya, pilih Hapus di sebelah atribut. -
Di bidang Tindakan, ketik tindakan yang akan diotorisasi untuk jenis sumber daya yang ditentukan. Untuk menambahkan tindakan tambahan untuk jenis sumber daya, pilih Tambahkan tindakan. Misalnya,
viewTemperature
bisa menjadi tindakan dalam aplikasi web pembaruan Cuaca. Untuk menghapus tindakan yang telah ditambahkan untuk jenis sumber daya, pilih Hapus di samping tindakan. -
Di bidang Nama tipe utama, ketikkan nama untuk jenis prinsipal yang akan menggunakan tindakan yang ditentukan untuk jenis sumber daya Anda. Secara default, Pengguna ditambahkan ke bidang ini tetapi dapat diganti.
-
Pilih Berikutnya.
-
Pada jendela Principal type, pilih sumber identitas untuk tipe utama Anda.
-
Pilih Kustom jika ID dan atribut kepala sekolah akan diberikan langsung oleh aplikasi Izin Terverifikasi Anda. Pilih Tambahkan atribut untuk menambahkan atribut utama. Izin Terverifikasi menggunakan nilai atribut yang ditentukan saat memverifikasi kebijakan terhadap skema. Untuk menghapus atribut yang telah ditambahkan untuk tipe utama, pilih Hapus di sebelah atribut.
-
Pilih Kumpulan Pengguna Cognito jika ID dan atribut prinsipal akan diberikan dari ID atau token akses yang dihasilkan oleh Amazon Cognito. Pilih Connect user pool. Pilih Wilayah AWSdan ketik ID kumpulan pengguna dari kumpulan pengguna Amazon Cognito untuk disambungkan. Pilih Hubungkan. Untuk informasi selengkapnya, lihat Otorisasi dengan Izin Terverifikasi Amazon di Panduan Pengembang Amazon Cognito.
-
Pilih OIDCpenyedia Eksternal jika ID dan atribut prinsipal akan diekstraksi dari ID dan/atau token Akses, yang dihasilkan oleh OIDC penyedia eksternal dan tambahkan detail penyedia dan token.
-
-
Pilih Berikutnya.
-
Di bagian Detail kebijakan, ketikkan deskripsi Kebijakan opsional untuk kebijakan Cedar pertama Anda.
-
Di bidang cakupan Prinsipal, pilih prinsipal yang akan diberikan izin dari kebijakan.
-
Pilih Kepala Sekolah Khusus untuk menerapkan kebijakan ke kepala sekolah tertentu. Pilih prinsipal di Principal yang akan diizinkan untuk mengambil tindakan dan ketik pengenal entitas untuk prinsipal. Misalnya,
user-id
bisa menjadi pengenal entitas dalam aplikasi web pembaruan Cuaca.catatan
Jika Anda menggunakan Amazon Cognito, pengenal entitas harus diformat sebagai.
<userpool-id>|<sub>
-
Pilih Semua kepala sekolah untuk menerapkan kebijakan ini ke semua kepala sekolah di toko polis Anda.
-
-
Di bidang lingkup Sumber Daya, pilih sumber daya mana yang akan diberi wewenang untuk ditindaklanjuti oleh prinsipal tertentu.
-
Pilih Sumber daya khusus untuk menerapkan kebijakan ke sumber daya tertentu. Pilih sumber daya di Sumber daya yang harus diterapkan kebijakan ini ke bidang dan ketik pengenal entitas untuk sumber daya. Misalnya,
temperature-id
bisa menjadi pengenal entitas dalam aplikasi web pembaruan Cuaca. -
Pilih Semua sumber daya untuk menerapkan kebijakan ke semua sumber daya di toko kebijakan Anda.
-
-
Di bidang lingkup Tindakan, pilih tindakan mana yang akan diotorisasi oleh prinsipal tertentu untuk dilakukan.
-
Pilih Kumpulan tindakan khusus untuk menerapkan kebijakan pada tindakan tertentu. Pilih kotak centang di samping tindakan dalam bidang Tindakan yang harus diterapkan kebijakan ini.
-
Pilih Semua tindakan untuk menerapkan kebijakan ke semua tindakan di toko kebijakan Anda.
-
-
Tinjau kebijakan di bagian Pratinjau kebijakan. Pilih Buat toko kebijakan.
-
- Set up with API Gateway and an identity source
-
Untuk membuat penyimpanan kebijakan menggunakan metode Pengaturan dengan API Gateway dan konfigurasi sumber identitas
Opsi API Gateway diamankan APIs dengan kebijakan Izin Terverifikasi yang dirancang untuk membuat keputusan otorisasi dari grup, atau peran pengguna. Opsi ini membangun penyimpanan kebijakan untuk menguji otorisasi dengan grup sumber identitas dan dengan otorisasi Lambda. API
Pengguna dan grup mereka dalam IDP menjadi prinsipal Anda (token ID) atau konteks Anda (token akses). Metode dan jalur di API Gateway API menjadi tindakan yang diizinkan oleh kebijakan Anda. Aplikasi Anda menjadi sumber daya. Sebagai hasil dari alur kerja ini, Izin Terverifikasi membuat penyimpanan kebijakan, fungsi Lambda, dan otorisasi Lambda. API Anda harus menetapkan otorisasi Lambda ke API Anda setelah Anda menyelesaikan alur kerja ini.
-
Di konsol Izin Terverifikasi
, pilih Buat toko kebijakan baru. -
Di bagian Opsi awal, pilih Mengatur dengan API Gateway dan sumber identitas dan pilih Berikutnya.
-
Pada langkah Impor sumber daya dan tindakan API, di bawah, pilih API yang akan berfungsi sebagai model untuk sumber daya dan tindakan penyimpanan kebijakan Anda.
-
Pilih tahap Deployment dari tahapan yang dikonfigurasi di Anda API dan pilih Impor API. Untuk informasi selengkapnya tentang API tahapan, lihat Menyiapkan tahapan untuk REST API di Panduan Pengembang Amazon API Gateway.
-
Pratinjau Peta sumber daya dan tindakan yang diimpor.
-
Untuk memperbarui sumber daya atau tindakan, ubah API jalur atau metode Anda di konsol API Gateway dan pilih Impor API untuk melihat pembaruan.
-
Ketika Anda puas dengan pilihan Anda, pilih Berikutnya.
-
-
Di Sumber identitas, pilih jenis penyedia Identitas. Anda dapat memilih kumpulan pengguna Amazon Cognito atau tipe IdP OpenID Connect ()OIDC.
-
Jika Anda memilih Amazon Cognito:
-
Pilih kumpulan pengguna yang sama Wilayah AWS dan Akun AWS sebagai toko kebijakan Anda.
-
Pilih jenis Token yang akan diteruskan ke API yang ingin Anda kirimkan untuk otorisasi. Salah satu jenis token berisi grup pengguna, dasar dari model otorisasi API -linked ini.
-
Di bawah Validasi klien App, Anda dapat membatasi cakupan penyimpanan kebijakan ke subset klien aplikasi Amazon Cognito di kumpulan pengguna multi-penyewa. Untuk mengharuskan pengguna melakukan autentikasi dengan satu atau beberapa klien aplikasi tertentu di kumpulan pengguna Anda, pilih Hanya terima token dengan klien IDs aplikasi yang diharapkan. Untuk menerima pengguna yang melakukan autentikasi dengan kumpulan pengguna, pilih Jangan memvalidasi klien aplikasi. IDs
-
Pilih Berikutnya.
-
-
Jika Anda memilih OIDCpenyedia eksternal:
-
Di Emiten URL, masukkan URL OIDC penerbit Anda. Ini adalah titik akhir layanan yang menyediakan server otorisasi, kunci penandatanganan, dan informasi lain tentang penyedia Anda, misalnya.
https://auth.example.com
Penerbit Anda URL harus meng-host dokumen OIDC penemuan di/.well-known/openid-configuration
. -
Dalam jenis Token, pilih jenis OIDC JWT yang Anda ingin aplikasi Anda kirimkan untuk otorisasi. Untuk informasi selengkapnya, lihat Memetakan token penyedia identitas ke skema.
-
(opsional) Dalam klaim Token - opsional, pilih Tambahkan klaim token, masukkan nama untuk token, dan pilih jenis nilai.
-
Dalam klaim token Pengguna dan grup, lakukan hal berikut:
-
Masukkan nama klaim Pengguna dalam token untuk sumber identitas. Ini adalah klaim, biasanya
sub
, dari ID atau token akses Anda yang memegang pengenal unik untuk entitas yang akan dievaluasi. Identitas dari OIDC iDP yang terhubung akan dipetakan ke jenis pengguna di toko kebijakan Anda. -
Masukkan nama klaim Grup dalam token untuk sumber identitas. Ini adalah klaim, biasanya
groups
, dari ID atau token akses Anda yang berisi daftar grup pengguna. Toko kebijakan Anda akan mengotorisasi permintaan berdasarkan keanggotaan grup.
-
-
Dalam validasi Audiens, pilih
Add value
dan tambahkan nilai yang ingin diterima oleh toko kebijakan dalam permintaan otorisasi. -
Pilih Berikutnya.
-
-
Jika Anda memilih Amazon Cognito, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk grup. Untuk OIDC penyedia, masukkan nama grup secara manual. Langkah Tetapkan tindakan ke grup membuat kebijakan untuk penyimpanan kebijakan Anda yang mengizinkan anggota grup melakukan tindakan.
-
Pilih atau tambahkan grup yang ingin Anda sertakan dalam kebijakan Anda.
-
Tetapkan tindakan ke setiap grup yang Anda pilih.
-
Pilih Berikutnya.
-
-
Di Deploy integrasi aplikasi, pilih apakah Anda ingin melampirkan otorisasi Lambda secara manual nanti secara manual atau jika Anda ingin Izin Terverifikasi melakukannya untuk Anda sekarang dan tinjau langkah-langkah yang akan diambil Izin Terverifikasi untuk membuat toko kebijakan dan otorisasi Lambda.
-
Saat Anda siap membuat sumber daya baru, pilih Buat toko kebijakan.
-
Biarkan langkah status penyimpanan Kebijakan tetap terbuka di browser Anda untuk memantau kemajuan pembuatan sumber daya berdasarkan Izin Terverifikasi.
-
Setelah beberapa waktu, biasanya sekitar satu jam, atau ketika langkah otorisasi Lambda Deploy menunjukkan Sukses, jika Anda memilih untuk melampirkan otorisasi secara manual, konfigurasikan otorisasi Anda.
Izin Terverifikasi akan membuat fungsi Lambda dan otorisasi Lambda di Anda. API Pilih Buka API untuk menavigasi ke AndaAPI.
Untuk mempelajari cara menetapkan otorisasi Lambda, lihat Menggunakan otorisasi API Gateway Lambda di Panduan Pengembang Amazon Gateway. API
-
Arahkan ke Authorizer untuk Anda API dan catat nama otorisasi yang dibuat oleh Izin Terverifikasi.
-
Arahkan ke Sumber Daya dan pilih metode tingkat atas di bagian AndaAPI.
-
Pilih Edit di bawah Pengaturan permintaan metode.
-
Atur Authorizer menjadi nama otorisasi yang Anda catat sebelumnya.
-
HTTPPerluas header permintaan, masukkan Nama atau
AUTHORIZATION
, dan pilih Diperlukan. -
Menyebarkan API panggung.
-
Simpan perubahan Anda.
-
-
Uji otorisasi Anda dengan token kumpulan pengguna dari jenis Token yang Anda pilih di langkah Pilih sumber identitas. Untuk informasi selengkapnya tentang login dan mengambil token kumpulan pengguna, lihat Alur autentikasi kumpulan pengguna di Panduan Pengembang Amazon Cognito.
-
Uji otentikasi lagi dengan token kumpulan pengguna di
AUTHORIZATION
header permintaan ke AndaAPI. -
Periksa toko kebijakan baru Anda. Menambahkan dan menyempurnakan kebijakan.
-
- Sample policy store
-
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyimpanan kebijakan Sample
-
Di bagian Opsi awal, pilih Contoh penyimpanan kebijakan.
-
Di bagian proyek Contoh, pilih jenis contoh aplikasi Izin Terverifikasi yang akan digunakan.
-
PhotoFlashadalah contoh aplikasi web yang menghadap pelanggan yang memungkinkan pengguna untuk berbagi foto dan album individual dengan teman-teman. Pengguna dapat mengatur izin berbutir halus tentang siapa yang diizinkan untuk melihat, mengomentari, dan membagikan kembali foto mereka. Pemilik akun juga dapat membuat grup teman dan mengatur foto ke dalam album.
-
DigitalPetStoreadalah contoh aplikasi di mana siapa pun dapat mendaftar dan menjadi pelanggan. Pelanggan dapat menambahkan hewan peliharaan untuk dijual, mencari hewan peliharaan, dan memesan. Pelanggan yang telah menambahkan hewan peliharaan dicatat sebagai pemilik hewan peliharaan. Pemilik hewan peliharaan dapat memperbarui detail hewan peliharaan, mengunggah gambar hewan peliharaan, atau menghapus daftar hewan peliharaan. Pelanggan yang telah melakukan pemesanan dicatat sebagai pemilik pesanan. Pemilik pesanan bisa mendapatkan detail pesanan atau membatalkannya. Manajer toko hewan peliharaan memiliki akses administratif.
catatan
Penyimpanan kebijakan DigitalPetStoresampel tidak menyertakan templat kebijakan. Toko kebijakan PhotoFlashdan TinyTodocontoh menyertakan templat kebijakan.
-
TinyTodoadalah contoh aplikasi yang memungkinkan pengguna untuk membuat taks dan daftar tugas. Pemilik daftar dapat mengelola dan membagikan daftar mereka dan menentukan siapa yang dapat melihat atau mengedit daftar mereka.
-
-
Namespace untuk skema penyimpanan kebijakan sampel Anda dibuat secara otomatis berdasarkan proyek sampel yang Anda pilih.
-
Pilih Buat toko kebijakan.
Toko kebijakan Anda dibuat dengan kebijakan dan skema untuk toko kebijakan sampel yang Anda pilih. Untuk informasi selengkapnya tentang kebijakan terkait templat yang dapat Anda buat untuk penyimpanan kebijakan sampel, lihat. Izin Terverifikasi Amazon contoh kebijakan terkait templat
-
- Empty policy store
-
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyimpanan kebijakan Kosong
-
Di bagian Opsi awal, pilih Kosongkan toko kebijakan.
-
Pilih Buat toko kebijakan.
Penyimpanan kebijakan kosong dibuat tanpa skema, yang berarti kebijakan tidak divalidasi. Untuk informasi selengkapnya tentang memperbarui skema untuk toko kebijakan Anda, lihatSkema toko kebijakan Izin Terverifikasi Amazon.
Untuk informasi selengkapnya tentang membuat kebijakan untuk toko kebijakan Anda, lihat Membuat kebijakan statis Izin Terverifikasi Amazon danMembuat kebijakan terkait templat Izin Terverifikasi Amazon.
-
- AWS CLI
-
Untuk membuat toko kebijakan kosong dengan menggunakan file AWS CLI.
Anda dapat membuat toko kebijakan dengan menggunakan
create-policy-store
operasi.catatan
Toko kebijakan yang Anda buat dengan menggunakan kosong. AWS CLI
-
Untuk menambahkan skema, lihatSkema toko kebijakan Izin Terverifikasi Amazon.
-
Untuk menambahkan kebijakan, lihatMembuat kebijakan statis Izin Terverifikasi Amazon.
-
Untuk menambahkan templat kebijakan, lihatMembuat templat kebijakan Izin Terverifikasi Amazon.
$
aws verifiedpermissions create-policy-store \ --validation-settings "mode=STRICT"
{ "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111", "createdDate": "2023-05-16T17:41:29.103459+00:00", "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" }
-
- AWS SDKs
-
Anda dapat membuat toko kebijakan menggunakan
CreatePolicyStore
API. Untuk informasi selengkapnya, lihat CreatePolicyStoredi Panduan API Referensi Izin Terverifikasi Amazon.