本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon 验证权限中实现授权
<a name="authorization"></a>

创建策略存储、策略、模板、架构和授权模型后，就可以开始使用 Amazon Verified Permissions 授权请求了。要实现已验证的权限授权，必须将中授权策略的配置 AWS 与应用程序中的集成结合起来。要将已验证权限与您的应用程序集成，请添加一个 AWS SDK 并实现调用已验证权限 API 并针对您的策略存储生成授权决策的方法。

使用经过验证的权限进行授权对于应用程序中的 *UX 权限*和 *API 权限*非常有用。

**用户体验权限**  
控制用户对您的应用程序 UX 的访问权限。您可以只允许用户查看他们需要访问的确切表单、按钮、图形和其他资源。例如，当用户登录时，您可能需要确定其账户中是否有 “转账” 按钮。您还可以控制用户可以采取的操作。例如，在同一个银行应用程序中，您可能需要确定是否允许您的用户更改交易类别。

**API 权限**  
控制用户对数据的访问权限。应用程序通常是分布式系统的一部分，并从外部引入信息 APIs。在银行应用程序的示例中，Verified Permissions 允许显示 “转账” 按钮，当您的用户发起转账时，必须做出更复杂的授权决定。Verified Permissions 可以授权列出符合条件的转账目标账户的 API 请求，然后授权将转账推送到其他账户的请求。

说明此内容的示例来自[策略存储库示](policy-stores-create.md#policy-stores-create.title)例。要继续操作，请在您的测试环境中创建**DigitalPetStore**示例策略存储。

有关使用批量授权实现 UX 权限的端到端示例应用程序，请参阅*AWS 安全*博客上的 “[使用 Amazon 已验证的权限进行大规模细粒度授权](https://aws.amazon.com/blogs/security/use-amazon-verified-permissions-for-fine-grained-authorization-at-scale/)”。

**Topics**
+ [可用于授权的 API 操作](#authorization-operations)
+ [测试您的授权模型](authorization-testing.md)
+ [将您的授权模型与应用程序集成](authorization-sdk.md)

## 可用于授权的 API 操作
<a name="authorization-operations"></a>

已验证权限 API 具有以下授权操作。

**[IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html)**  
`IsAuthorized`API 操作是使用已验证权限的授权请求的入口点。您必须提交承担者、操作、资源、上下文和实体元素。Verified Permissions 会根据请求的策略存储区中适用于请求中实体的所有策略来评估您的请求。

**[IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)**  
该`IsAuthorizedWithToken`操作根据 JSON Web 令牌 (JWTs) 中的用户数据生成授权请求。Verified Permissions 可直接与 OIDC 提供商配合使用，例如 Amazon Cognito 作为策略存储中的身份源。Verified Permissions 会根据用户 ID 或访问令牌中的声明填充您的请求中的委托人的所有属性。您可以通过身份源中的用户属性或群组成员资格来授权操作和资源。  
您不能在`IsAuthorizedWithToken`请求中包含有关群组或用户主体类型的信息。您必须将所有委托人数据填充到您提供的 JWT 中。

**[BatchIsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_BatchIsAuthorized.html)**  
该`BatchIsAuthorized`操作在单个 API 请求中处理针对单个委托人或资源的多个授权决策。此操作将请求分组为单个批处理操作，从而最大限度地减少[配额使用量](quotas.md#quotas-tps.title)，并返回最多 30 个复杂嵌套操作中每个操作的授权决策。通过对单个资源的批量授权，您可以筛选用户可以对资源执行的操作。通过对单个委托人的批量授权，您可以筛选用户可以对其采取操作的资源。

**[BatchIsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_BatchIsAuthorizedWithToken.html)**  
该`BatchIsAuthorizedWithToken`操作在一个 API 请求中为单个委托人处理多个授权决策。委托人由您的策略存储身份源以 ID 或访问令牌形式提供。此操作将请求分组为单个批处理操作，以最大限度地减少[配额使用量](quotas.md#quotas-tps.title)，并返回最多 30 个操作和资源请求中每个请求的授权决策。在您的策略中，您可以通过其属性或用户目录中的群组成员资格来授权他们的访问权限。  
与一样`IsAuthorizedWithToken`，您不能在`BatchIsAuthorizedWithToken`请求中包含有关群组或用户委托人类型的信息。您必须将所有委托人数据填充到您提供的 JWT 中。