Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Implementierung der Autorisierung in Amazon Verified Permissions
Nachdem Sie Ihren Richtlinienspeicher, Ihre Richtlinien, Vorlagen, Ihr Schema und Ihr Autorisierungsmodell erstellt haben, können Sie mit der Autorisierung von Anfragen mithilfe von Amazon Verified Permissions beginnen. Um die Autorisierung mit verifizierten Berechtigungen zu implementieren, müssen Sie die Konfiguration von Richtlinien AWS mit der Integration in eine Anwendung kombinieren. Um Verified Permissions in Ihre Anwendung zu integrieren, fügen Sie Methoden hinzu AWS SDK und implementieren Sie die Methoden, die Verified Permissions aufrufen API und Autorisierungsentscheidungen anhand Ihres Richtlinienspeichers generieren.
Die Autorisierung mit verifizierten Berechtigungen ist nützlich für UX-Berechtigungen und API-Berechtigungen in Ihren Anwendungen.
- UX-Berechtigungen
-
Steuern Sie den Benutzerzugriff auf Ihre Anwendungs-UX. Sie können einem Benutzer erlauben, nur genau die Formulare, Schaltflächen, Grafiken und anderen Ressourcen anzuzeigen, auf die er zugreifen muss. Wenn sich ein Benutzer beispielsweise anmeldet, möchten Sie vielleicht festlegen, ob die Schaltfläche „Geld überweisen“ in seinem Konto sichtbar ist. Sie können auch die Aktionen steuern, die ein Benutzer ausführen kann. Beispielsweise möchten Sie in derselben Banking-App möglicherweise festlegen, ob Ihr Benutzer die Kategorie einer Transaktion ändern darf.
- APIBerechtigungen
-
Steuern Sie den Benutzerzugriff auf Daten. Anwendungen sind häufig Teil eines verteilten Systems und beziehen Informationen von außen einAPIs. Im Beispiel der Banking-App, bei der Verified Permissions die Anzeige einer Schaltfläche „Geld überweisen“ zugelassen hat, muss eine komplexere Autorisierungsentscheidung getroffen werden, wenn Ihr Benutzer eine Überweisung veranlasst. Verified Permissions kann die API Anfrage autorisieren, in der die Zielkonten aufgeführt sind, die als Übertragungsziele in Frage kommen, und dann die Anfrage, die Überweisung auf das andere Konto zu übertragen.
Die Beispiele, die diesen Inhalt veranschaulichen, stammen aus einem Beispielrichtlinienspeicher. Um dem nachzugehen, erstellen Sie den DigitalPetStoreBeispiel-Richtlinienspeicher in Ihrer Testumgebung.
Eine durchgängige Beispielanwendung, die UX-Berechtigungen mithilfe der Batch-Autorisierung implementiert, finden Sie im AWS
Sicherheits-Blog unter Verwenden Sie von Amazon verifizierte Berechtigungen für eine detaillierte Autorisierung im großen Maßstab
Themen
Verfügbare API Operationen für die Autorisierung
Die verifizierten Berechtigungen verfügen API über die folgenden Autorisierungsvorgänge.
- IsAuthorized
-
Der
IsAuthorized
API Vorgang ist der Einstiegspunkt für Autorisierungsanfragen mit verifizierten Berechtigungen. Sie müssen die Elemente „Principal“, „Action“, „Resource“, „Context“ und „Entities“ einreichen. Verified Permissions validiert die Entitäten in Ihrer Anfrage anhand Ihres Policy-Store-Schemas. Verified Permissions bewertet dann Ihre Anfrage anhand aller Richtlinien im angeforderten Richtlinienspeicher, die für die Entitäten in der Anfrage gelten. - IsAuthorizedWithToken
-
Der
IsAuthorizedWithToken
Vorgang generiert eine Autorisierungsanfrage anhand von Benutzerdaten in Amazon Cognito JSON Cognito-Webtoken (JWTs). Verified Permissions funktioniert direkt mit Amazon Cognito als Identitätsquelle in Ihrem Richtlinienspeicher. Verified Permissions füllt alle Attribute für den Principal in Ihrer Anfrage anhand der Ansprüche in der Benutzer-ID oder in den Zugriffstoken auf. Sie können Aktionen und Ressourcen anhand von Benutzerattributen oder Gruppenmitgliedschaften in einem Amazon Cognito Cognito-Benutzerpool autorisieren.Sie können keine Informationen über Gruppen- oder Benutzerprinzipaltypen in eine
IsAuthorizedWithToken
Anfrage aufnehmen. Sie müssen alle Hauptdaten in die von Ihnen angegebenen Daten JWT eintragen. - BatchIsAuthorized
-
Der
BatchIsAuthorized
Vorgang verarbeitet mehrere Autorisierungsentscheidungen für einen einzelnen Prinzipal oder eine einzelne Ressource in einer einzigen API Anforderung. Dieser Vorgang gruppiert Anfragen in einem einzigen Batch-Vorgang, der die Kontingentnutzung minimiert und Autorisierungsentscheidungen für jede der bis zu 30 komplexen verschachtelten Aktionen zurückgibt. Mit der Batch-Autorisierung für eine einzelne Ressource können Sie die Aktionen filtern, die ein Benutzer für eine Ressource ausführen kann. Mit der Batch-Autorisierung für einen einzelnen Prinzipal können Sie nach den Ressourcen filtern, für die ein Benutzer Aktionen ausführen kann. - BatchIsAuthorizedWithToken
-
Der
BatchIsAuthorizedWithToken
Vorgang verarbeitet mehrere Autorisierungsentscheidungen für einen einzelnen Prinzipal in einer API Anfrage. Der Prinzipal wird von der Identitätsquelle Ihres Richtlinienspeichers in einer ID oder einem Zugriffstoken bereitgestellt. Dieser Vorgang gruppiert Anfragen in einem einzigen Batch-Vorgang, der die Kontingentnutzung minimiert und Autorisierungsentscheidungen für jede von bis zu 30 Anfragen nach Aktionen und Ressourcen zurückgibt. In Ihren Richtlinien können Sie ihren Zugriff über ihre Attribute oder ihre Gruppenmitgliedschaft in einem Amazon Cognito Cognito-Benutzerpool autorisieren.Wie bei
IsAuthorizedWithToken
können Sie keine Informationen über Gruppen- oder Benutzerprinzipaltypen in eineBatchIsAuthorizedWithToken
Anfrage aufnehmen. Sie müssen alle Hauptdaten in die von Ihnen angegebenen Daten JWT eintragen.