Implementierung der Autorisierung in Amazon Verified Permissions - Amazon Verified Permissions
APIOperationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Implementierung der Autorisierung in Amazon Verified Permissions

Nachdem Sie Ihren Richtlinienspeicher, Ihre Richtlinien, Vorlagen, Ihr Schema und Ihr Autorisierungsmodell erstellt haben, können Sie mit der Autorisierung von Anfragen mithilfe von Amazon Verified Permissions beginnen. Um die Autorisierung mit verifizierten Berechtigungen zu implementieren, müssen Sie die Konfiguration von Richtlinien AWS mit der Integration in eine Anwendung kombinieren. Um Verified Permissions in Ihre Anwendung zu integrieren, fügen Sie Methoden hinzu AWS SDK und implementieren Sie die Methoden, die Verified Permissions aufrufen API und Autorisierungsentscheidungen anhand Ihres Richtlinienspeichers generieren.

Die Autorisierung mit verifizierten Berechtigungen ist nützlich für UX-Berechtigungen und API-Berechtigungen in Ihren Anwendungen.

UX-Berechtigungen

Steuern Sie den Benutzerzugriff auf Ihre Anwendungs-UX. Sie können einem Benutzer erlauben, nur genau die Formulare, Schaltflächen, Grafiken und anderen Ressourcen anzuzeigen, auf die er zugreifen muss. Wenn sich ein Benutzer beispielsweise anmeldet, möchten Sie vielleicht festlegen, ob die Schaltfläche „Geld überweisen“ in seinem Konto sichtbar ist. Sie können auch die Aktionen steuern, die ein Benutzer ausführen kann. Beispielsweise möchten Sie in derselben Banking-App möglicherweise festlegen, ob Ihr Benutzer die Kategorie einer Transaktion ändern darf.

APIBerechtigungen

Steuern Sie den Benutzerzugriff auf Daten. Anwendungen sind häufig Teil eines verteilten Systems und beziehen Informationen von außen einAPIs. Im Beispiel der Banking-App, bei der Verified Permissions die Anzeige einer Schaltfläche „Geld überweisen“ zugelassen hat, muss eine komplexere Autorisierungsentscheidung getroffen werden, wenn Ihr Benutzer eine Überweisung veranlasst. Verified Permissions kann die API Anfrage autorisieren, in der die Zielkonten aufgeführt sind, die als Übertragungsziele in Frage kommen, und dann die Anfrage, die Überweisung auf das andere Konto zu übertragen.

Die Beispiele, die diesen Inhalt veranschaulichen, stammen aus einem Beispielrichtlinienspeicher. Um dem nachzugehen, erstellen Sie den DigitalPetStoreBeispiel-Richtlinienspeicher in Ihrer Testumgebung.

Eine durchgängige Beispielanwendung, die UX-Berechtigungen mithilfe der Batch-Autorisierung implementiert, finden Sie im AWS Sicherheits-Blog unter Verwenden Sie von Amazon verifizierte Berechtigungen für eine detaillierte Autorisierung im großen Maßstab.

Themen

Verfügbare API Operationen für die Autorisierung

Die verifizierten Berechtigungen verfügen API über die folgenden Autorisierungsvorgänge.

IsAuthorized

Der IsAuthorized API Vorgang ist der Einstiegspunkt für Autorisierungsanfragen mit verifizierten Berechtigungen. Sie müssen die Elemente „Principal“, „Action“, „Resource“, „Context“ und „Entities“ einreichen. Verified Permissions validiert die Entitäten in Ihrer Anfrage anhand Ihres Policy-Store-Schemas. Verified Permissions bewertet dann Ihre Anfrage anhand aller Richtlinien im angeforderten Richtlinienspeicher, die für die Entitäten in der Anfrage gelten.

IsAuthorizedWithToken

Der IsAuthorizedWithToken Vorgang generiert eine Autorisierungsanfrage anhand von Benutzerdaten in Amazon Cognito JSON Cognito-Webtoken (JWTs). Verified Permissions funktioniert direkt mit Amazon Cognito als Identitätsquelle in Ihrem Richtlinienspeicher. Verified Permissions füllt alle Attribute für den Principal in Ihrer Anfrage anhand der Ansprüche in der Benutzer-ID oder in den Zugriffstoken auf. Sie können Aktionen und Ressourcen anhand von Benutzerattributen oder Gruppenmitgliedschaften in einem Amazon Cognito Cognito-Benutzerpool autorisieren.

Sie können keine Informationen über Gruppen- oder Benutzerprinzipaltypen in eine IsAuthorizedWithToken Anfrage aufnehmen. Sie müssen alle Hauptdaten in die von Ihnen angegebenen Daten JWT eintragen.

BatchIsAuthorized

Der BatchIsAuthorized Vorgang verarbeitet mehrere Autorisierungsentscheidungen für einen einzelnen Prinzipal oder eine einzelne Ressource in einer einzigen API Anforderung. Dieser Vorgang gruppiert Anfragen in einem einzigen Batch-Vorgang, der die Kontingentnutzung minimiert und Autorisierungsentscheidungen für jede der bis zu 30 komplexen verschachtelten Aktionen zurückgibt. Mit der Batch-Autorisierung für eine einzelne Ressource können Sie die Aktionen filtern, die ein Benutzer für eine Ressource ausführen kann. Mit der Batch-Autorisierung für einen einzelnen Prinzipal können Sie nach den Ressourcen filtern, für die ein Benutzer Aktionen ausführen kann.

BatchIsAuthorizedWithToken

Der BatchIsAuthorizedWithToken Vorgang verarbeitet mehrere Autorisierungsentscheidungen für einen einzelnen Prinzipal in einer API Anfrage. Der Prinzipal wird von der Identitätsquelle Ihres Richtlinienspeichers in einer ID oder einem Zugriffstoken bereitgestellt. Dieser Vorgang gruppiert Anfragen in einem einzigen Batch-Vorgang, der die Kontingentnutzung minimiert und Autorisierungsentscheidungen für jede von bis zu 30 Anfragen nach Aktionen und Ressourcen zurückgibt. In Ihren Richtlinien können Sie ihren Zugriff über ihre Attribute oder ihre Gruppenmitgliedschaft in einem Amazon Cognito Cognito-Benutzerpool autorisieren.

Wie bei IsAuthorizedWithToken können Sie keine Informationen über Gruppen- oder Benutzerprinzipaltypen in eine BatchIsAuthorizedWithToken Anfrage aufnehmen. Sie müssen alle Hauptdaten in die von Ihnen angegebenen Daten JWT eintragen.