기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Verified Permissions에서 권한 부여 구현
<a name="authorization"></a>

정책 스토어, 정책, 템플릿, 스키마 및 권한 부여 모델을 빌드한 후에는 Amazon Verified Permissions를 사용하여 요청 권한 부여를 시작할 준비가 된 것입니다. Verified Permissions 권한 부여를 구현하려면의 권한 부여 정책 구성을 애플리케이션의 통합 AWS 과 결합해야 합니다. Verified Permissions를 애플리케이션과 통합하려면 AWS SDK를 추가하고 Verified Permissions API를 호출하고 정책 스토어에 대한 권한 부여 결정을 생성하는 메서드를 구현합니다.

Verified Permissions를 사용한 권한 부여는 애플리케이션의 *UX 권한* 및 *API 권한*에 유용합니다.

**UX 권한**  
애플리케이션 UX에 대한 사용자 액세스를 제어합니다. 사용자가 액세스해야 하는 정확한 양식, 버튼, 그래픽 및 기타 리소스만 볼 수 있도록 허용할 수 있습니다. 예를 들어 사용자가 로그인할 때 계정에 "자금 이체" 버튼이 표시되는지 확인할 수 있습니다. 사용자가 수행할 수 있는 작업을 제어할 수도 있습니다. 예를 들어 동일한 뱅킹 앱에서 사용자가 트랜잭션 범주를 변경할 수 있는지 여부를 확인할 수 있습니다.

**API 권한**  
데이터에 대한 사용자 액세스를 제어합니다. 애플리케이션은 종종 분산 시스템의 일부이며 외부 APIs에서 정보를 가져옵니다. Verified Permissions가 "자금 이체" 버튼 표시를 허용한 뱅킹 앱의 예제에서는 사용자가 이체를 시작할 때 보다 복잡한 권한 부여 결정을 내려야 합니다. Verified Permissions는 적격 이전 대상인 대상 계정을 나열하는 API 요청을 승인한 다음 이전을 다른 계정으로 푸시하는 요청을 승인할 수 있습니다.

이 콘텐츠를 설명하는 예제는 [샘플 정책 스토어](policy-stores-create.md#policy-stores-create.title)에서 가져온 것입니다. 다음을 수행하려면 테스트 환경에 **DigitalPetStore** 샘플 정책 스토어를 생성합니다.

배치 권한 부여를 사용하여 UX 권한을 구현하는 엔드 투 엔드 샘플 애플리케이션은 *AWS 보안 블로그*의 [대규모 세분화된 권한 부여를 위한 Amazon Verified Permissions 사용을](https://aws.amazon.com/blogs/security/use-amazon-verified-permissions-for-fine-grained-authorization-at-scale/) 참조하세요.

**Topics**
+ [권한 부여에 사용 가능한 API 작업](#authorization-operations)
+ [권한 부여 모델 테스트](authorization-testing.md)
+ [권한 부여 모델을 애플리케이션과 통합](authorization-sdk.md)

## 권한 부여에 사용 가능한 API 작업
<a name="authorization-operations"></a>

Verified Permissions API에는 다음과 같은 권한 부여 작업이 있습니다.

**[IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html)**  
`IsAuthorized` API 작업은 Verified Permissions가 있는 권한 부여 요청의 진입점입니다. 보안 주체, 작업, 리소스, 컨텍스트 및 엔터티 요소를 제출해야 합니다. Verified Permissions는 요청의 엔터티에 적용되는 요청된 정책 스토어의 모든 정책에 대해 요청을 평가합니다.

**[IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)**  
`IsAuthorizedWithToken` 작업은 JSON 웹 토큰(JWTs)의 사용자 데이터에서 권한 부여 요청을 생성합니다. Verified Permissions는 정책 스토어의 자격 증명 소스 Amazon Cognito 와 같은 OIDC 공급자와 직접 작동합니다. Verified Permissions는 사용자의 ID 또는 액세스 토큰의 클레임에서 요청의 보안 주체에 모든 속성을 채웁니다. 자격 증명 소스의 사용자 속성 또는 그룹 멤버십에서 작업 및 리소스를 승인할 수 있습니다.  
`IsAuthorizedWithToken` 요청에 그룹 또는 사용자 보안 주체 유형에 대한 정보를 포함할 수 없습니다. 제공하는 JWT에 모든 보안 주체 데이터를 채워야 합니다.

**[BatchIsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_BatchIsAuthorized.html)**  
`BatchIsAuthorized` 작업은 단일 API 요청에서 단일 보안 주체 또는 리소스에 대한 여러 권한 부여 결정을 처리합니다. 이 작업은 [할당량 사용을](quotas.md#quotas-tps.title) 최소화하고 최대 30개의 복잡한 중첩 작업 각각에 대한 권한 부여 결정을 반환하는 단일 배치 작업으로 요청을 그룹화합니다. 단일 리소스에 대한 배치 권한 부여를 사용하면 사용자가 리소스에 대해 수행할 수 있는 작업을 필터링할 수 있습니다. 단일 보안 주체에 대한 배치 권한 부여를 사용하면 사용자가 조치를 취할 수 있는 리소스를 필터링할 수 있습니다.

**[BatchIsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_BatchIsAuthorizedWithToken.html)**  
`BatchIsAuthorizedWithToken` 작업은 하나의 API 요청으로 단일 보안 주체에 대한 여러 권한 부여 결정을 처리합니다. 보안 주체는 정책 스토어 ID 소스에서 ID 또는 액세스 토큰으로 제공됩니다. 이 작업은 할당[량 사용을](quotas.md#quotas-tps.title) 최소화하고 작업 및 리소스에 대한 최대 30개의 요청 각각에 대한 권한 부여 결정을 반환하는 단일 배치 작업으로 요청을 그룹화합니다. 정책에서 사용자 디렉터리의 속성 또는 그룹 멤버십에서 액세스 권한을 부여할 수 있습니다.  
와 마찬가지로 `BatchIsAuthorizedWithToken` 요청에 그룹 또는 사용자 보안 주체 유형에 대한 정보를 포함할 `IsAuthorizedWithToken`수 없습니다. 제공하는 JWT에 모든 보안 주체 데이터를 채워야 합니다.