リンクAPIされたポリシーストアのトラブルシューティング - Amazon Verified Permissions
ポリシーを更新しましたが、承認の決定は変更されませんでしたLambda オーソライザーを にアタッチしましたAPIが、認証リクエストを生成していません予期しない承認決定を受け取り、承認ロジックを確認したいLambda オーソライザーからログを検索するLambda オーソライザーが存在しませんMy APIはプライベートでVPC、オーソライザーを呼び出すことができません認証モデルで追加のユーザー属性を処理したい新しいアクション、アクションコンテキスト属性、またはリソース属性を追加する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リンクAPIされたポリシーストアのトラブルシューティング

Amazon Verified Permissions にリンクAPIされたポリシーストアを構築するときに一般的な問題を診断して修正するには、ここで情報を使用します。

ポリシーを更新しましたが、承認の決定は変更されませんでした

デフォルトでは、Verified Permissions は Lambda オーソライザーを設定して、承認の決定を 120 秒間キャッシュします。2 分後に再試行するか、オーソライザーのキャッシュを無効にします。詳細については、「Amazon API Gateway デベロッパーガイド」のAPI「キャッシュを有効にして応答性を高める」を参照してください。

Lambda オーソライザーを にアタッチしましたAPIが、認証リクエストを生成していません

リクエストの処理を開始するには、オーソライザーをアタッチしたAPIステージをデプロイする必要があります。詳細については、「Amazon API Gateway デベロッパーガイドREST」の「 のデプロイAPI」を参照してください。

予期しない承認決定を受け取り、承認ロジックを確認したい

リンクAPIされたポリシーストアプロセスは、オーソライザーの Lambda 関数を作成します。Verified Permissions は、承認決定のロジックをオーソライザー関数に自動的に構築します。ポリシーストアを作成した後に戻って、 関数のロジックを確認および更新できます。

AWS CloudFormation コンソールから Lambda 関数を検索するには、新しいポリシーストアの概要ページにあるデプロイの確認ボタンを選択します。

AWS Lambda コンソールで関数を検索することもできます。ポリシーストア AWS リージョン の コンソールに移動し、プレフィックスが の関数名を検索しますAVPAuthorizerLambda。複数のリンクAPIされたポリシーストアを作成した場合は、関数の最終変更時刻を使用してポリシーストアの作成と関連付けます。

Lambda オーソライザーからログを検索する

Lambda 関数はメトリクスを収集し、それらの呼び出し結果を Amazon にログに記録します CloudWatch。ログを確認するには、Lambda コンソールで関数を見つけMonitor タブを選択します。 CloudWatch ログを表示 を選択し、ロググループのエントリを確認します。

Lambda 関数ログの詳細については、 AWS Lambda デベロッパーガイドの「 で Amazon CloudWatch Logs を使用する AWS Lambda」を参照してください。

Lambda オーソライザーが存在しません

リンクAPIされたポリシーストアのセットアップが完了したら、Lambda オーソライザーを にアタッチする必要がありますAPI。API Gateway コンソールでオーソライザーを見つけられない場合、ポリシーストアの追加リソースが失敗しているか、まだデプロイされていない可能性があります。APIにリンクされたポリシーストアは、これらのリソースを AWS CloudFormation スタックにデプロイします。

Verified Permissions は、作成プロセスの最後に、ラベル Check デプロイを含むリンクを表示します。すでにこの画面から移動している場合は、 CloudFormation コンソールに移動し、最近のスタックで というプレフィックスが付いた名前を検索しますAVPAuthorizer-<policy store ID>。 は、スタックデプロイの出力に貴重なトラブルシューティング情報 CloudFormation を提供します。

CloudFormation スタックのトラブルシューティングについては、AWS CloudFormation 「 ユーザーガイド」の「トラブルシューティング CloudFormation」を参照してください。

My APIはプライベートでVPC、オーソライザーを呼び出すことができません

Verified Permissions は、VPCエンドポイントを介した Lambda オーソライザーへのアクセスをサポートしていません。とオーソライザーとして機能する API Lambda 関数の間にネットワークパスを開く必要があります。

認証モデルで追加のユーザー属性を処理したい

リンクAPIされたポリシーストアプロセスは、ユーザーのトークン内のグループクレームから Verified Permissions ポリシーを取得します。追加のユーザー属性を考慮するように承認モデルを更新するには、それらの属性をポリシーに統合します。

Amazon Cognito ユーザープールからの ID トークンとアクセストークンの多くのクレームを Verified Permissions ポリシーステートメントにマッピングできます。例えば、ほとんどのユーザーは ID トークンにemailクレームがあります。ID ソースからポリシーへのクレームの追加の詳細については、「」を参照してくださいID プロバイダートークンをスキーマにマッピングする

新しいアクション、アクションコンテキスト属性、またはリソース属性を追加する

リンクAPIされたポリシーストアと作成する Lambda オーソライザーはリソースです point-in-time。これらは、作成API時の の状態を反映します。ポリシーストアスキーマは、アクションにコンテキスト属性を割り当てず、デフォルトApplicationリソースに属性や親を割り当てません。

パスとメソッドのアクションを に追加するときはAPI、ポリシーストアを更新して新しいアクションを認識する必要があります。また、Lambda オーソライザーを更新して、新しいアクションの認証リクエストを処理する必要があります。新しいポリシーストアで再開することも、既存のポリシーストアを更新することもできます。

既存のポリシーストアを更新するには、関数 を見つけます。自動生成された関数のロジックを調べて更新し、新しいアクション、属性、またはコンテキストを処理します。次に、スキーマを編集して新しいアクションと属性を含めます。