Richtlinienspeicher für verifizierte Berechtigungen erstellen - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinienspeicher für verifizierte Berechtigungen erstellen

Sie können einen Richtlinienspeicher mit den folgenden Methoden erstellen:

  • Folgen Sie einer Anleitung zur Einrichtung — Sie definieren einen Ressourcentyp mit gültigen Aktionen und einen Prinzipaltyp, bevor Sie Ihre erste Richtlinie erstellen.

  • Mit API Gateway und einer Identitätsquelle einrichten — Definieren Sie Ihre Hauptentitäten mit Benutzern, die sich mit einem Identitätsanbieter (IdP) anmelden, und Ihre Aktionen und Ressourcenentitäten über eine Amazon API Gateway Gateway-API. Wir empfehlen diese Option, wenn Sie möchten, dass Ihre Anwendung API-Anfragen mit der Gruppenmitgliedschaft von Benutzern autorisiert.

  • Beginnen Sie mit einem Beispielrichtlinienspeicher — Wählen Sie einen vordefinierten Beispiel-Richtlinienspeicher für Projekte aus. Wir empfehlen diese Option, wenn Sie mehr über verifizierte Berechtigungen erfahren und Beispielrichtlinien ansehen und testen möchten.

  • Erstellen Sie einen leeren Richtlinienspeicher — Sie definieren das Schema und alle Zugriffsrichtlinien selbst. Wir empfehlen diese Option, wenn Sie bereits mit der Konfiguration eines Richtlinienspeichers vertraut sind.

Guided setup
So erstellen Sie einen Richtlinienspeicher mit der Konfigurationsmethode „Geführtes Setup“

Der Assistent für die Einrichtung mit Anleitung führt Sie durch den Prozess der Erstellung der ersten Iteration Ihres Richtlinienspeichers. Sie erstellen ein Schema für Ihren ersten Ressourcentyp, beschreiben die Aktionen, die für diesen Ressourcentyp gelten, und beschreiben den Prinzipaltyp, für den Sie Berechtigungen erteilen. Anschließend erstellen Sie Ihre erste Richtlinie. Sobald Sie diesen Assistenten abgeschlossen haben, können Sie Ihrem Richtlinienspeicher etwas hinzufügen, das Schema erweitern, um andere Ressourcen- und Prinzipaltypen zu beschreiben, und zusätzliche Richtlinien und Vorlagen erstellen.

  1. Wählen Sie in der Konsole „Verifizierte Berechtigungen“ die Option Neuen Richtlinienspeicher erstellen aus.

  2. Wählen Sie im Abschnitt Startoptionen die Option Geführte Installation aus.

  3. Geben Sie eine Beschreibung des Policy-Stores ein. Bei diesem Text kann es sich um einen beliebigen Text handeln, der zu Ihrer Organisation passt, und zwar als freundlicher Hinweis auf die Funktion des aktuellen Richtlinienspeichers, z. B. Wetteraktualisierungen.

  4. Geben Sie im Abschnitt Details einen Namespace für Ihr Schema ein.

  5. Wählen Sie Weiter aus.

  6. Geben Sie im Fenster Ressourcentyp einen Namen für Ihren Ressourcentyp ein.

  7. (Optional) Wählen Sie Attribut hinzufügen, um Ressourcenattribute hinzuzufügen. Geben Sie den Attributnamen ein und wählen Sie einen Attributtyp für jedes Attribut der Ressource aus. Wählen Sie aus, ob jedes Attribut erforderlich ist. Verified Permissions verwendet die angegebenen Attributwerte, wenn Richtlinien anhand des Schemas überprüft werden. Um ein Attribut zu entfernen, das für den Ressourcentyp hinzugefügt wurde, wählen Sie neben dem Attribut die Option Entfernen aus.

  8. Geben Sie im Feld Aktionen die Aktionen ein, die für den angegebenen Ressourcentyp autorisiert werden sollen. Um weitere Aktionen für den Ressourcentyp hinzuzufügen, wählen Sie Aktion hinzufügen aus. Um eine Aktion zu entfernen, die für den Ressourcentyp hinzugefügt wurde, wählen Sie neben der Aktion die Option Entfernen aus.

  9. Geben Sie im Feld Name des Prinzipaltyps den Namen für einen Prinzipaltyp ein, der die angegebenen Aktionen für Ihren Ressourcentyp verwenden wird.

  10. Wählen Sie Weiter aus.

  11. Wählen Sie im Fenster Prinzipaltyp die Identitätsquelle für Ihren Prinzipaltyp aus.

    • Wählen Sie Benutzerdefiniert, wenn die ID und die Attribute des Prinzipals direkt von Ihrer Verified Permissions-Anwendung bereitgestellt werden sollen. Wählen Sie Attribut hinzufügen, um Hauptattribute hinzuzufügen. Geben Sie den Attributnamen ein und wählen Sie einen Attributtyp für jedes Attribut des Prinzipals aus. Verified Permissions verwendet die angegebenen Attributwerte, wenn Richtlinien anhand des Schemas überprüft werden. Um ein Attribut zu entfernen, das für den Prinzipaltyp hinzugefügt wurde, wählen Sie neben dem Attribut die Option Entfernen aus.

    • Wählen Sie Cognito User Pool, wenn die ID und die Attribute des Prinzipals aus einer von Amazon Cognito generierten ID oder einem Zugriffstoken bereitgestellt werden. Wählen Sie Connect user pool. Wählen Sie die AWS-RegionBenutzerpool-ID des Amazon Cognito Cognito-Benutzerpools aus, zu dem Sie eine Verbindung herstellen möchten, und geben Sie sie ein. Wählen Sie Connect aus. Weitere Informationen finden Sie unter Autorisierung mit von Amazon verifizierten Berechtigungen im Amazon Cognito Developer Guide.

  12. Wählen Sie Weiter aus.

  13. Geben Sie im Abschnitt Richtliniendetails eine optionale Richtlinienbeschreibung für Ihre erste Cedar-Police ein.

  14. Wählen Sie im Feld Principals Scope die Principals aus, denen im Rahmen der Richtlinie Berechtigungen erteilt werden sollen.

    • Wählen Sie Spezifischer Hauptbenutzer aus, um die Richtlinie auf einen bestimmten Prinzipal anzuwenden. Wählen Sie den Principal im Feld Principal, der Aktionen ausführen darf, und geben Sie eine Entitäts-ID für den Principal ein.

    • Wählen Sie Alle Prinzipale aus, um die Richtlinie auf alle Prinzipale in Ihrem Richtlinienspeicher anzuwenden.

  15. Wählen Sie im Feld Umfang der Ressourcen aus, auf welche Ressourcen die angegebenen Prinzipale reagieren dürfen.

    • Wählen Sie Bestimmte Ressource aus, um die Richtlinie auf eine bestimmte Ressource anzuwenden. Wählen Sie die Ressource im Feld Ressource, für die diese Richtlinie gelten soll, und geben Sie eine Entitäts-ID für die Ressource ein.

    • Wählen Sie Alle Ressourcen aus, um die Richtlinie auf alle Ressourcen in Ihrem Richtlinienspeicher anzuwenden.

  16. Wählen Sie im Feld Aktionsbereich aus, für welche Aktionen die angegebenen Prinzipale autorisiert werden sollen.

    • Wählen Sie Bestimmte Gruppe von Aktionen aus, um die Richtlinie auf bestimmte Aktionen anzuwenden. Aktivieren Sie die Kontrollkästchen neben den Aktionen im Feld Aktion (en), für die diese Richtlinie gelten soll.

    • Wählen Sie Alle Aktionen aus, um die Richtlinie auf alle Aktionen in Ihrem Richtlinienspeicher anzuwenden.

  17. Sehen Sie sich die Richtlinie im Abschnitt Richtlinienvorschau an. Wählen Sie Richtlinienspeicher erstellen aus.

Set up with API Gateway and an identity source
So erstellen Sie einen Richtlinienspeicher mithilfe der Konfigurationsmethode „Mit API Gateway einrichten“ und einer Identitätsquelle

Die API-Gateway-Option schützt APIs mit Richtlinien für verifizierte Berechtigungen, die darauf ausgelegt sind, Autorisierungsentscheidungen von Benutzergruppen oder Rollen zu treffen. Diese Option erstellt einen Richtlinienspeicher zum Testen der Autorisierung mit Identitätsquellengruppen und eine API mit einem Lambda-Autorisierer.

Die Benutzer und ihre Gruppen in einem IdP werden entweder zu Ihren Prinzipalen (ID-Token) oder zu Ihrem Kontext (Zugriffstoken). Die Methoden und Pfade in einer API-Gateway-API werden zu den Aktionen, die Ihre Richtlinien autorisieren. Ihre Anwendung wird zur Ressource. Als Ergebnis dieses Workflows erstellt Verified Permissions einen Richtlinienspeicher, eine Lambda-Funktion und einen API-Lambda-Authorizer. Sie müssen den Lambda-Autorisierer Ihrer API zuweisen, nachdem Sie diesen Workflow abgeschlossen haben.

  1. Wählen Sie in der Konsole „Verifizierte Berechtigungen“ die Option Neuen Richtlinienspeicher erstellen aus.

  2. Wählen Sie im Abschnitt Startoptionen die Option Mit API Gateway und einer Identitätsquelle einrichten und dann Weiter aus.

  3. Wählen Sie im Schritt Ressourcen und Aktionen importieren unter API eine API aus, die als Modell für die Ressourcen und Aktionen Ihres Richtlinienspeichers dienen soll.

    1. Wählen Sie aus den in Ihrer API konfigurierten Phasen eine Bereitstellungsphase aus und wählen Sie API importieren aus. Weitere Informationen zu API-Phasen finden Sie im Amazon API Gateway Developer Guide unter Setting up a Stage for a REST API API API API API API.

    2. Zeigen Sie eine Vorschau Ihrer Map mit importierten Ressourcen und Aktionen an.

    3. Um Ressourcen oder Aktionen zu aktualisieren, ändern Sie Ihre API-Pfade oder Methoden und wählen Sie API importieren aus.

    4. Wenn Sie mit Ihrer Auswahl zufrieden sind, wählen Sie Weiter.

  4. Wählen Sie unter Identitätsquelle einen Identitätsanbietertyp aus. Sie können einen Amazon Cognito Cognito-Benutzerpool oder einen OpenID Connect (OIDC) IdP-Typ wählen.

  5. Wenn Sie sich für Amazon Cognito entschieden haben:

    1. Wählen Sie einen Benutzerpool aus, der sich in demselben AWS-Region und AWS-Konto wie in Ihrem Richtlinienspeicher befindet.

    2. Wählen Sie den Tokentyp aus, der an die API übergeben werden soll und den Sie zur Autorisierung einreichen möchten. Beide Tokentypen enthalten Benutzergruppen, die Grundlage dieses API-verknüpften Autorisierungsmodells.

    3. Unter App-Client-Validierung können Sie den Umfang eines Policy Stores auf eine Teilmenge der Amazon Cognito-App-Clients in einem Benutzerpool mit mehreren Mandanten beschränken. Um zu verlangen, dass sich dieser Benutzer bei einem oder mehreren angegebenen App-Clients in Ihrem Benutzerpool authentifiziert, wählen Sie Nur Token mit erwarteten App-Client-IDs akzeptieren aus. Um jeden Benutzer zu akzeptieren, der sich beim Benutzerpool authentifiziert, wählen Sie App-Client-IDs nicht validieren aus.

    4. Wählen Sie Weiter aus.

  6. Wenn Sie sich für einen OIDC-Anbieter entschieden haben:

    1. Geben Sie im Feld Aussteller-URL die URL Ihres OIDC-Ausstellers ein. Dies ist der Dienstendpunkt, der beispielsweise den Autorisierungsserver, Signaturschlüssel und andere Informationen über Ihren Anbieter bereitstellt. https://auth.example.com Ihre Aussteller-URL muss ein OIDC-Discovery-Dokument unter hosten. /.well-known/openid-configuration

    2. Wählen Sie unter Tokentyp den Typ des OIDC JWT aus, den Ihre Anwendung zur Autorisierung einreichen soll. Weitere Informationen finden Sie unter Arbeiten mit Identitätsquellen in Schemas und Richtlinien.

    3. Wählen Sie unter Tokenansprüche aus, wie Sie Benutzerattribute in Ihrem Richtlinienspeicher einrichten möchten. Diese Attribute definieren die Ansprüche, auf die Ihre Richtlinien verweisen können.

      1. Wählen Sie eine Quelle für den Antrag aus.

        1. Um ein Mustertoken bereitzustellen, wählen Sie Aus JWT-Payload extrahieren und fügen Sie die Payload eines JWT Ihres ausgewählten Tokentyps ein. JWTs enthalten einen Header, eine Nutzlast und eine Signatur. Ihr Beispiel-JWT muss dekodiert und nur für Nutzdaten verwendet werden. Um die Payload zu analysieren, wählen Sie Extrahieren aus.

        2. Um Ihren eigenen Satz von Attributen einzugeben, wählen Sie „Ansprüche manuell eingeben“.

      2. Geben Sie jeden Token-Anspruchsnamen und jeden Anspruchswerttyp ein, den Sie den Attributen des Benutzerprinzipals- oder Aktionskontextes in Ihrem Schema hinzufügen möchten, oder bestätigen Sie diese.

    4. Wählen Sie unter Benutzer- und Gruppenansprüche einen Benutzeranspruch für die Identitätsquelle aus. Dabei handelt es sich in der Regel sub um einen Anspruch anhand Ihrer ID oder Ihres Zugriffstoken, das die eindeutige Kennung für die zu prüfende Entität enthält. Identitäten des verbundenen OIDC-IdP werden dem Benutzertyp in Ihrem Richtlinienspeicher zugeordnet.

    5. Wählen Sie unter Benutzer- und Gruppenansprüche einen Gruppenanspruch für die Identitätsquelle aus. Dabei handelt es sich in der Regel groups um einen Anspruch aus Ihrer ID oder Ihrem Zugriffstoken, der eine Liste der Benutzergruppen enthält. Ihr Richtlinienspeicher autorisiert Anfragen auf der Grundlage der Gruppenmitgliedschaft.

    6. Geben Sie unter Zielgruppenvalidierung oder Client-IDs die Client-IDs oder Zielgruppen-URLs ein, die Ihr Richtlinienspeicher gegebenenfalls in Autorisierungsanfragen akzeptieren soll. Geben Sie für Zugriffstoken einen Wert für den Zielgruppenanspruch wie einhttps://myapp.example.com. Geben Sie für ID-Token eine Client-ID wie ein1example23456789.

    7. Wählen Sie Weiter aus.

  7. Wenn Sie sich für Amazon Cognito entschieden haben, fragt Verified Permissions Ihren Benutzerpool nach Gruppen ab. Geben Sie für OIDC-Anbieter Gruppennamen manuell ein. Mit dem Schritt Aktionen Gruppen zuweisen werden Richtlinien für Ihren Richtlinienspeicher erstellt, die es Gruppenmitgliedern ermöglichen, Aktionen auszuführen.

    1. Wählen Sie die Gruppen aus, die Sie in Ihre Richtlinien aufnehmen möchten, oder fügen Sie sie hinzu.

    2. Weisen Sie jeder der ausgewählten Gruppen Aktionen zu.

    3. Wählen Sie Weiter aus.

  8. Überprüfen Sie unter App-Integration bereitstellen die Schritte, die Verified Permissions zur Erstellung Ihres Richtlinienspeichers und Lambda-Autorisierers unternimmt.

  9. Wenn Sie bereit sind, die neuen Ressourcen zu erstellen, wählen Sie Create and Deploy aus.

  10. Lassen Sie den Schritt Status des Richtlinienspeichers in Ihrem Browser geöffnet, um den Fortschritt der Ressourcenerstellung anhand von Verified Permissions zu überwachen.

  11. Nach einiger Zeit, in der Regel etwa einer Stunde, oder wenn der Schritt „Lambda-Autorisierung bereitstellen“ Erfolg anzeigt, konfigurieren Sie Ihren Autorisierer.

    Verified Permissions hat eine Lambda-Funktion und einen Lambda-Authorizer in Ihrer API erstellt. Wählen Sie Open API, um zu Ihrer API zu navigieren.

    Informationen zum Zuweisen eines Lambda-Autorisierers finden Sie unter Verwenden von API Gateway Gateway-Lambda-Autorisierern im Amazon API Gateway Gateway-Entwicklerhandbuch.

    1. Navigieren Sie zu Autorisatoren für Ihre API und notieren Sie sich den Namen des Autorisierers, den Verified Permissions erstellt hat.

    2. Navigieren Sie zu Ressourcen und wählen Sie eine Methode der obersten Ebene in Ihrer API aus.

    3. Wählen Sie unter Einstellungen für Methodenanfragen die Option Bearbeiten aus.

    4. Geben Sie als Autorisierer den Namen des Autorisierers ein, den Sie sich zuvor notiert haben.

    5. Erweitern Sie HTTP-Anforderungsheader, geben Sie einen Namen oder ein und wählen Sie AUTHORIZATION Erforderlich aus.

    6. Stellen Sie die API-Phase bereit.

    7. Speichern Sie Ihre Änderungen.

  12. Testen Sie Ihren Autorisierer mit einem Benutzerpool-Token des Tokentyps, den Sie im Schritt Identitätsquelle auswählen ausgewählt haben. Weitere Informationen zur Benutzerpool-Anmeldung und zum Abrufen von Token finden Sie unter Benutzerpool-Authentifizierungsablauf im Amazon Cognito Developer Guide.

  13. Testen Sie die Authentifizierung erneut mit einem Benutzerpool-Token im AUTHORIZATION Header einer Anfrage an Ihre API.

  14. Untersuchen Sie Ihren neuen Richtlinienspeicher. Fügen Sie Richtlinien hinzu und verfeinern Sie sie.

Sample policy store
So erstellen Sie einen Richtlinienspeicher mit der Beispiel-Konfigurationsmethode für den Richtlinienspeicher

  1. Wählen Sie im Abschnitt Startoptionen die Option Beispiel für einen Richtlinienspeicher aus.

  2. Wählen Sie im Abschnitt Beispielprojekt den Typ der Beispielanwendung Verified Permissions aus, die Sie verwenden möchten.

    • PhotoFlashist eine Beispiel-Webanwendung für Kunden, mit der Benutzer einzelne Fotos und Alben mit Freunden teilen können. Benutzer können detaillierte Berechtigungen dafür festlegen, wer ihre Fotos ansehen, kommentieren und erneut teilen darf. Kontoinhaber können auch Gruppen von Freunden erstellen und Fotos in Alben organisieren.

    • DigitalPetStore ist eine Beispielanwendung, mit der sich jeder registrieren und Kunde werden kann. Kunden können Haustiere zum Verkauf hinzufügen, nach Haustieren suchen und Bestellungen aufgeben. Kunden, die ein Haustier hinzugefügt haben, werden als Tierbesitzer registriert. Tierbesitzer können die Angaben zum Haustier aktualisieren, ein Tierbild hochladen oder den Tiereintrag löschen. Kunden, die eine Bestellung aufgegeben haben, werden als Inhaber der Bestellung registriert. Bestellungsinhaber können Einzelheiten zur Bestellung abrufen oder sie stornieren. Manager von Tierhandlungen haben Administratorzugriff.

      Anmerkung

      Der DigitalPet Musterrichtlinienspeicher Store enthält keine Richtlinienvorlagen. Der Richtlinienspeicher PhotoFlashund der TinyTodoBeispielrichtlinienspeicher enthalten Richtlinienvorlagen.

    • TinyTodoist eine Beispielanwendung, mit der Benutzer Aufgaben und Aufgabenlisten erstellen können. Listenbesitzer können ihre Listen verwalten und teilen und angeben, wer ihre Listen ansehen oder bearbeiten kann.

  3. Basierend auf dem ausgewählten Beispielprojekt wird automatisch ein Namespace für das Schema Ihres Beispielrichtlinienspeichers generiert.

  4. Wählen Sie Richtlinienspeicher erstellen aus.

    Ihr Richtlinienspeicher wird mit Richtlinien und einem Schema für den von Ihnen ausgewählten Beispiel-Richtlinienspeicher erstellt. Weitere Informationen zu vorlagenverknüpften Richtlinien, die Sie für die Beispielrichtlinienspeicher erstellen können, finden Sie unter. Beispiel für vorlagenverknüpfte Richtlinien für Beispielrichtlinienspeicher für Verified Permissions

Empty policy store
So erstellen Sie einen Richtlinienspeicher mit der Konfigurationsmethode „Richtlinienspeicher leeren“

  1. Wählen Sie im Abschnitt Startoptionen die Option Richtlinienspeicher leeren aus.

  2. Wählen Sie Richtlinienspeicher erstellen aus.

Ein leerer Richtlinienspeicher wird ohne Schema erstellt, was bedeutet, dass Richtlinien nicht validiert werden. Weitere Informationen zur Aktualisierung des Schemas für Ihren Richtlinienspeicher finden Sie unterSpeicherschema für Richtlinien von Amazon Verified Permissions.

Weitere Informationen zum Erstellen von Richtlinien für Ihren Richtlinienspeicher finden Sie unter Statische Richtlinien für Amazon Verified Permissions erstellen undErstellen von vorlagenverknüpften Richtlinien.

AWS CLI
Um einen leeren Richtlinienspeicher zu erstellen, verwenden Sie den AWS CLI.

Sie können einen Richtlinienspeicher erstellen, indem Sie den create-policy-store Vorgang verwenden.

Anmerkung

Ein Richtlinienspeicher, den Sie mithilfe von erstellen, AWS CLI ist leer.

$ aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"
{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}
AWS SDKs

Sie können mithilfe der CreatePolicyStore API einen Richtlinienspeicher erstellen. Weitere Informationen finden Sie unter CreatePolicyShop im Referenzhandbuch zur Amazon Verified Permissions API.