Creazione di archivi di policy per le autorizzazioni verificate

Per creare un policy store utilizzando il metodo di configurazione con configurazione guidata

La procedura guidata di configurazione guida l'utente attraverso il processo di creazione della prima iterazione del policy store. Creerai uno schema per il tuo primo tipo di risorsa, descriverai le azioni applicabili a quel tipo di risorsa e il tipo principale per il quale concedi le autorizzazioni. Creerai quindi la tua prima politica. Una volta completata questa procedura guidata, sarà possibile aggiungerle al proprio archivio delle politiche, estendere lo schema per descrivere altri tipi di risorse e principali e creare criteri e modelli aggiuntivi.

1. Nella console Autorizzazioni verificate, seleziona Crea nuovo archivio di politiche.

2. Nella sezione Opzioni di avvio, scegli Configurazione guidata.

3. Inserisci una descrizione del Policy store. Questo testo può essere quello che più si addice all'organizzazione come riferimento esplicito alla funzione dell'attuale archivio delle politiche, ad esempio l'applicazione web Weather updates.

4. Nella sezione Dettagli, digitate un Namespace per lo schema. Per ulteriori informazioni sui namespace, vedere. Definizione dello spazio dei nomi

5. Scegli Next (Successivo).

6. Nella finestra Tipo di risorsa, digita un nome per il tipo di risorsa. Ad esempio, currentTemperature potrebbe essere una risorsa per l'applicazione web Weather updates.

7. (Facoltativo) Scegliete Aggiungi un attributo per aggiungere gli attributi della risorsa. Digitate il nome dell'attributo e scegliete un tipo di attributo per ogni attributo della risorsa. Scegli se ogni attributo è obbligatorio. Ad esempio, temperatureFormat potrebbe essere un attributo della currentTemperature risorsa ed essere Fahrenheit o Celsius. Per rimuovere un attributo che è stato aggiunto per il tipo di risorsa, scegli Rimuovi accanto all'attributo.

8. Nel campo Azioni, digita le azioni da autorizzare per il tipo di risorsa specificato. Per aggiungere azioni aggiuntive per il tipo di risorsa, scegli Aggiungi un'azione. Ad esempio, viewTemperature potrebbe essere un'azione nell'applicazione web Weather updates. Per rimuovere un'azione che è stata aggiunta per il tipo di risorsa, scegli Rimuovi accanto all'azione.

9. Nel campo Nome del tipo principale, digita il nome di un tipo di principale che utilizzerà le azioni specificate per il tipo di risorsa. Per impostazione predefinita, l'utente viene aggiunto a questo campo ma può essere sostituito.

10. Scegli Next (Successivo).

11. Nella finestra Tipo principale, scegli la fonte di identità per il tuo tipo principale.

    • Scegli Personalizzato se l'ID e gli attributi del principale verranno forniti direttamente dall'applicazione Autorizzazioni verificate. Scegli Aggiungi un attributo per aggiungere gli attributi principali. Autorizzazioni verificate utilizza i valori degli attributi specificati per verificare le politiche rispetto allo schema. Per rimuovere un attributo che è stato aggiunto per il tipo principale, scegli Rimuovi accanto all'attributo.

    • Scegli Cognito User Pool se l'ID e gli attributi del principale verranno forniti da un ID o da un token di accesso generato da Amazon Cognito. Scegli Connect user pool. Seleziona Regione AWSe digita l'ID del pool di utenti di Amazon Cognito a cui connetterti. Scegli Connetti. Per ulteriori informazioni, consulta Authorization with Amazon Verified Permissions nella Amazon Cognito Developer Guide.

    • Scegli OIDCProvider esterno se l'ID e gli attributi del principale verranno estratti da un ID e/o da un token di accesso, generati da un OIDC provider esterno e aggiungi i dettagli del provider e del token.

12. Scegli Next (Successivo).

13. Nella sezione Dettagli della politica, digita una descrizione facoltativa della politica per la tua prima polizza Cedar.

14. Nel campo Ambito dei principi, scegli i principali a cui verranno concesse le autorizzazioni previste dalla politica.

    • Scegli Principio specifico per applicare la politica a un principio specifico. Scegli il principale nel campo Principal a cui sarà consentito intraprendere azioni e digita un identificatore di entità per il principale. Ad esempio, user-id potrebbe essere un identificatore di entità nell'applicazione web Weather updates.

      Nota

      Se utilizzi Amazon Cognito, l'identificatore di entità deve essere formattato come. <userpool-id>|<sub>

    • Scegli Tutti i mandanti per applicare la politica a tutti i responsabili del tuo archivio di polizze.

15. Nel campo Ambito delle risorse, scegli su quali risorse i responsabili specificati saranno autorizzati ad agire.

    • Scegli Risorsa specifica per applicare la politica a una risorsa specifica. Scegli la risorsa nel campo Risorsa a cui questo criterio dovrebbe applicarsi e digita un identificatore di entità per la risorsa. Ad esempio, temperature-id potrebbe essere un identificatore di entità nell'applicazione web Weather updates.

    • Scegli Tutte le risorse per applicare la politica a tutte le risorse del tuo archivio delle politiche.

16. Nel campo Ambito delle azioni, scegli le azioni che i responsabili specificati saranno autorizzati a eseguire.

    • Scegli Set specifico di azioni per applicare la politica a azioni specifiche. Seleziona le caselle di controllo accanto alle azioni nel campo Azioni a cui questo criterio dovrebbe applicarsi.

    • Scegli Tutte le azioni per applicare la politica a tutte le azioni nel tuo archivio delle politiche.

17. Consulta la politica nella sezione Anteprima della politica. Scegli Crea archivio di politiche.

Per creare un policy store utilizzando il metodo di configurazione Setup with API Gateway e un metodo di configurazione Identity Source

L'opzione API Gateway protegge APIs con politiche di autorizzazione verificate progettate per prendere decisioni di autorizzazione in base ai gruppi o ai ruoli degli utenti. Questa opzione crea un archivio di politiche per testare l'autorizzazione con gruppi di origini di identità e API uno con un autorizzatore Lambda.

Gli utenti e i relativi gruppi in un IdP diventano i tuoi principali (token ID) o il tuo contesto (token di accesso). I metodi e i percorsi di un API Gateway API diventano le azioni autorizzate dalle policy. La tua applicazione diventa la risorsa. Come risultato di questo flusso di lavoro, Verified Permissions crea un archivio di politiche, una funzione Lambda e un autorizzatore API Lambda. È necessario assegnare l'autorizzatore Lambda al API proprio dopo aver completato questo flusso di lavoro.

1. Nella console Autorizzazioni verificate, seleziona Crea nuovo archivio di politiche.

2. Nella sezione Opzioni di avvio, scegli Configura con API gateway e un'origine di identità e seleziona Avanti.

3. Nella fase Importa risorse e azioni, sotto API, scegli un'opzione API che fungerà da modello per le risorse e le azioni del tuo policy store.

   1. Scegli una fase di implementazione tra le fasi configurate nel tuo API e seleziona Importa API. Per ulteriori informazioni sulle API fasi, consulta Configurazione di una fase per un REST API nella Amazon API Gateway Developer Guide.

   2. Visualizza un'anteprima della mappa delle risorse e delle azioni importate.

   3. Per aggiornare risorse o azioni, modifica i API percorsi o i metodi nella console API Gateway e seleziona Importa API per visualizzare gli aggiornamenti.

   4. Quando sei soddisfatto delle tue scelte, scegli Avanti.

4. In Identity source, scegli un tipo di provider di identità. Puoi scegliere un pool di utenti Amazon Cognito o un tipo di IdP OpenID Connect ()OIDC.

5. Se hai scelto Amazon Cognito:

   1. Scegli un pool di utenti nello stesso archivio delle Regione AWS polizze Account AWS .

   2. Scegli il tipo di token da passare a API cui desideri inviare l'autorizzazione. Entrambi i tipi di token contengono gruppi di utenti, la base di questo modello API di autorizzazione collegato.

   3. In App client validation, puoi limitare l'ambito di un policy store a un sottoinsieme dei client dell'app Amazon Cognito in un pool di utenti multi-tenant. Per richiedere l'autenticazione dell'utente con uno o più client di app specifici nel tuo pool di utenti, seleziona Accetta token solo con il client di app previsto. IDs Per accettare qualsiasi utente che si autentichi con il pool di utenti, seleziona Don't validate app client. IDs

   4. Scegli Next (Successivo).

6. Se hai scelto Provider esterno: OIDC

   1. In Emittente URL, inserisci l'URLOIDCemittente. Questo è l'endpoint del servizio che fornisce, ad esempio, il server di autorizzazione, le chiavi di firma e altre informazioni sul provider. https://auth.example.com L'emittente URL deve ospitare un documento di OIDC scoperta presso. /.well-known/openid-configuration

   2. In Tipo di token, scegli il tipo di token OIDC JWT che desideri che la tua richiesta invii per l'autorizzazione. Per ulteriori informazioni, consulta Mappatura dei token del provider di identità allo schema.

   3. (opzionale) In Reclami con token - opzionale, scegli Aggiungi un attestato di token, inserisci un nome per il token e seleziona un tipo di valore.

   4. In Reclami relativi ai token utente e di gruppo, procedi come segue:

      1. Inserisci il nome dell'attestazione utente nel token per l'origine dell'identità. Si tratta in genere sub di un'attestazione derivante dal tuo ID o token di accesso che contiene l'identificatore univoco dell'entità da valutare. Le identità dell'OIDCIdP connesso verranno mappate al tipo di utente nel tuo policy store.

      2. Inserisci il nome di un claim di gruppo nel token per l'origine dell'identità. Si tratta in genere groups di un'attestazione derivante dal tuo ID o token di accesso che contiene un elenco dei gruppi dell'utente. Il tuo archivio delle politiche autorizzerà le richieste in base all'appartenenza al gruppo.

   5. In Audience validation, scegli Add value e aggiungi un valore che desideri che il tuo policy store accetti nelle richieste di autorizzazione.

   6. Scegli Next (Successivo).

7. Se hai scelto Amazon Cognito, Verified Permissions interroga il tuo pool di utenti per i gruppi. Per i OIDC provider, inserisci i nomi dei gruppi manualmente. Il passaggio Assegna azioni ai gruppi crea politiche per l'archivio delle politiche che consentono ai membri del gruppo di eseguire azioni.

   1. Scegli o aggiungi i gruppi che desideri includere nelle tue politiche.

   2. Assegna azioni a ciascuno dei gruppi selezionati.

   3. Scegli Next (Successivo).

8. Nell'integrazione con l'app Deploy, scegli se desideri collegare manualmente l'autorizzatore Lambda manualmente in un secondo momento o se desideri che Verified Permissions lo faccia subito e rivedi i passaggi che Verified Permissions eseguirà per creare il tuo policy store e l'autorizzatore Lambda.

9. Quando sei pronto per creare le nuove risorse, scegli Create policy store.

10. Tieni aperta la fase di stato del Policy store nel browser per monitorare l'avanzamento della creazione delle risorse tramite Autorizzazioni verificate.

11. Dopo qualche tempo, in genere circa un'ora, o quando la fase di autorizzazione Deploy Lambda mostra l'esito positivo, se hai scelto di collegare l'autorizzatore manualmente, configura l'autorizzatore.

    Verified Permissions avrà creato una funzione Lambda e un autorizzatore Lambda nel tuo. API Scegli Apri API per accedere al tuo. API

    Per informazioni su come assegnare un'autorizzazione Lambda, consulta Use Gateway Lambda authorizers nella Amazon API Gateway Developer Guide. API

    1. Vai alla sezione Authorizers for your API e annota il nome dell'autorizzatore creato da Verified Permissions.

    2. Vai a Risorse e seleziona un metodo di primo livello nel tuo. API

    3. Seleziona Modifica nelle impostazioni di richiesta del metodo.

    4. Imposta l'Autorizzatore in modo che sia il nome dell'autorizzatore che hai annotato in precedenza.

    5. Espandi le intestazioni della HTTP richiesta, inserisci un nome o e seleziona AUTHORIZATION Obbligatorio.

    6. Distribuisci lo stage. API

    7. Salva le modifiche.

12. Testa il tuo sistema di autorizzazione con un token del pool di utenti del tipo Token selezionato nel passaggio Scegli l'origine dell'identità. Per ulteriori informazioni sull'accesso al pool di utenti e sul recupero dei token, consulta Flusso di autenticazione del pool di utenti nella Amazon Cognito Developer Guide.

13. Prova nuovamente l'autenticazione con un token del pool di utenti nell'AUTHORIZATIONintestazione di una richiesta al tuo. API

14. Esamina il tuo nuovo archivio di politiche. Aggiungi e perfeziona le politiche.

Per creare un policy store utilizzando il metodo di configurazione Sample policy store

1. Nella sezione Opzioni di avvio, scegli Sample policy store.

2. Nella sezione Progetto di esempio, scegli il tipo di applicazione di esempio per le autorizzazioni verificate da utilizzare.

   • PhotoFlashè un'applicazione web di esempio rivolta ai clienti che consente agli utenti di condividere foto e album individuali con gli amici. Gli utenti possono impostare autorizzazioni dettagliate su chi è autorizzato a visualizzare, commentare e condividere nuovamente le proprie foto. I proprietari di account possono anche creare gruppi di amici e organizzare le foto in album.

   • DigitalPetStoreè un'applicazione di esempio in cui chiunque può registrarsi e diventare cliente. I clienti possono aggiungere animali domestici in vendita, cercare animali domestici ed effettuare ordini. I clienti che hanno aggiunto un animale domestico vengono registrati come proprietari dell'animale. I proprietari di animali domestici possono aggiornare i dettagli dell'animale, caricare un'immagine dell'animale o eliminare l'elenco degli animali domestici. I clienti che hanno effettuato un ordine vengono registrati come proprietari dell'ordine. I proprietari degli ordini possono ottenere dettagli sull'ordine o annullarlo. I gestori dei negozi di animali hanno accesso amministrativo.

     Nota

     L'archivio DigitalPetStoredi policy di esempio non include modelli di policy. Gli archivi TinyTododi policy PhotoFlashe di esempio includono modelli di policy.

   • TinyTodoè un'applicazione di esempio che consente agli utenti di creare attività ed elenchi di attività. I proprietari degli elenchi possono gestire e condividere i propri elenchi e specificare chi può visualizzare o modificare i propri elenchi.

3. Uno spazio dei nomi per lo schema del tuo archivio di policy di esempio viene generato automaticamente in base al progetto di esempio scelto.

4. Scegli Crea archivio di politiche.

   Il tuo policy store viene creato con criteri e uno schema per il policy store di esempio che hai scelto. Per ulteriori informazioni sulle politiche collegate ai modelli che è possibile creare per gli archivi di policy di esempio, consulta. Esempio di politiche collegate a modelli di Amazon Verified Permissions

Per creare un policy store utilizzando il metodo di configurazione Empty policy store

1. Nella sezione Opzioni di avvio, scegli Empty policy store.

2. Scegli Crea archivio di politiche.