Probar su modelo de autorización - Amazon Verified Permissions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Probar su modelo de autorización

Para comprender el efecto de la decisión de autorización de permisos verificados de Amazon al implementar su aplicación, puede evaluar sus políticas a medida que las desarrolla con los permisos verificados Uso del banco de pruebas de permisos verificados de Amazon y con HTTPS REST API las solicitudes de estos. El banco de pruebas es una herramienta que sirve AWS Management Console para evaluar las solicitudes de autorización y las respuestas en su almacén de políticas.

Los permisos verificados REST API son el siguiente paso en su desarrollo, a medida que pasa de la comprensión conceptual al diseño de la aplicación. Los permisos verificados API aceptan solicitudes de autorización con IsAuthorizedy BatchIsAuthorizedcomo AWS APIsolicitudes firmadas dirigidas a los puntos finales de servicio regionales. IsAuthorizedWithToken Para probar su modelo de autorización, puede generar solicitudes con cualquier API cliente y comprobar que sus políticas devuelven las decisiones de autorización según lo previsto.

Por ejemplo, puede realizar una prueba IsAuthorized en un almacén de políticas de muestra con el siguiente procedimiento.

Test bench

  1. Abra la consola de permisos verificados en https://console.aws.amazon.com/verifiedpermissions/. Cree un almacén de políticas a partir del almacén de políticas de muestra con el nombre DigitalPetStore.

  2. Selecciona Test bench en tu nuevo almacén de políticas.

  3. Rellene el formulario de solicitud de banco de pruebas IsAuthorizeden la API referencia de permisos verificados. Los siguientes detalles reproducen las condiciones del ejemplo 4 que hace referencia a la DigitalPetStoremuestra.

    1. Pon a Alice como la directora. Para que el director tome medidas, elige DigitalPetStore::User e ingresaAlice.

    2. Establece el rol de Alice como cliente. Elija Agregar un padreDigitalPetStore::Role, elija e introduzca Cliente.

    3. Establezca el recurso como pedido «1234». En el caso del recurso sobre el que actúa el principal, selecciónelo DigitalPetStore::Order e introdúzcalo1234.

    4. El DigitalPetStore::Order recurso requiere un owner atributo. Establece a Alice como la propietaria del pedido. Elige DigitalPetStore::User e ingresa Alice

    5. Alice solicitó ver el pedido. Para la acción que está tomando el director, elijaDigitalPetStore::Action::"GetOrder".

  4. Elija Ejecutar solicitud de autorización. En un almacén de políticas sin modificar, esta solicitud da lugar a una ALLOW decisión. Tenga en cuenta la política de satisfacción que dio lugar a la decisión.

  5. Elija Políticas en la barra de navegación izquierda. Revise la política estática con la descripción Customer Role: Get Order.

  6. Observe que los permisos verificados permitieron la solicitud porque el principal tenía un rol de cliente y era el propietario del recurso.

REST API

  1. Abra la consola de permisos verificados en https://console.aws.amazon.com/verifiedpermissions/. Cree un almacén de políticas a partir del almacén de políticas de muestra con el nombre DigitalPetStore.

  2. Anote el ID del almacén de políticas del nuevo almacén de políticas.

  3. IsAuthorizedEn la API referencia de permisos verificados, copia el cuerpo de la solicitud del ejemplo 4 que hace referencia al DigitalPetStoreejemplo.

  4. Abra su API cliente y cree una solicitud al punto final del servicio regional de su almacén de políticas. Rellene los encabezados como se muestra en el ejemplo.

  5. Pegue el ejemplo del cuerpo de la solicitud y cambie el valor por el ID del almacén de policyStoreId políticas que indicó anteriormente.

  6. Envía la solicitud y revisa los resultados. En un almacén DigitalPetStorede políticas predeterminado, esta solicitud devuelve una ALLOW decisión.

Puede realizar cambios en las políticas, el esquema y las solicitudes de su entorno de prueba para cambiar los resultados y tomar decisiones más complejas.

  1. Cambia la solicitud de forma que modifique la decisión de Verified Permissions. Por ejemplo, cambia el rol de Alice a Employee o cambia el owner atributo del pedido 1234 aBob.

  2. Cambie las políticas de manera que afecten a las decisiones de autorización. Por ejemplo, modifique la política con la descripción Customer Role: Get Order para eliminar la condición de que User debe ser el propietario del pedido Resource y modifique la solicitud para que Bob desee ver el pedido.

  3. Cambie el esquema para permitir que las políticas tomen una decisión más compleja. Actualice las entidades solicitadas para que Alice pueda cumplir con los nuevos requisitos. Por ejemplo, edite el esquema User para poder ser miembro de ActiveUsers oInactiveUsers. Actualice la política para que solo los usuarios activos puedan ver sus propios pedidos. Actualice las entidades de la solicitud para que Alice sea una usuaria activa o inactiva.