Implementación de la autorización en Amazon Verified Permissions

Tras crear el almacén de políticas, las políticas, las plantillas, el esquema y el modelo de autorización, estará listo para empezar a autorizar las solicitudes mediante los permisos verificados de Amazon. Para implementar la autorización de permisos verificados, debe combinar la configuración de las políticas AWS con la integración en una aplicación. Para integrar los permisos verificados en su aplicación, añada AWS SDK e implemente los métodos que invocan los permisos verificados API y generan decisiones de autorización en su almacén de políticas.

La autorización con permisos verificados es útil para los permisos de experiencia de usuario y APIlos permisos de sus aplicaciones.

Permisos de UX: Controle el acceso de los usuarios a la UX de su aplicación. Puede permitir que un usuario vea solo los formularios, botones, gráficos y otros recursos exactos a los que necesita acceder. Por ejemplo, cuando un usuario inicia sesión, es posible que desee determinar si el botón «Transferir fondos» está visible en su cuenta. También puedes controlar las acciones que puede realizar un usuario. Por ejemplo, en la misma aplicación bancaria, es posible que desee determinar si su usuario puede cambiar la categoría de una transacción.
APIpermisos: Controle el acceso de los usuarios a los datos. Las aplicaciones suelen formar parte de un sistema distribuido y reciben información de fuentes externasAPIs. En el ejemplo de la aplicación bancaria en la que los permisos verificados permiten mostrar el botón «Transferir fondos», se debe tomar una decisión de autorización más compleja cuando el usuario inicia una transferencia. Los permisos verificados pueden autorizar la API solicitud en la que se indican las cuentas de destino que son destinatarios de la transferencia aptos y, a continuación, la solicitud para transferir la transferencia a la otra cuenta.

Los ejemplos que ilustran este contenido provienen de un ejemplo de almacén de políticas. Para continuar, cree el almacén de políticas de DigitalPetStoremuestra en su entorno de pruebas.

Para ver un ejemplo de aplicación integral que implementa permisos de experiencia de usuario mediante la autorización por lotes, consulte Uso de permisos verificados de Amazon para obtener una autorización detallada a gran escala en el AWS blog de seguridad.

Temas

Operaciones disponibles para API la autorización

Los permisos verificados API tienen las siguientes operaciones de autorización.

IsAuthorized

La IsAuthorized API operación es el punto de entrada a las solicitudes de autorización con permisos verificados. Debe enviar los elementos principales, de acción, de recursos, de contexto y de entidad. Los permisos verificados validan las entidades de su solicitud en función del esquema del almacén de políticas. A continuación, Verified Permissions evalúa la solicitud comparándola con todas las políticas del almacén de políticas solicitado que se aplican a las entidades de la solicitud.

IsAuthorizedWithToken

La IsAuthorizedWithToken operación genera una solicitud de autorización a partir de los datos de usuario de los JSON web tokens de Amazon Cognito ()JWTs. Verified Permissions funciona directamente con Amazon Cognito como fuente de identidad en su almacén de políticas. Verified Permissions rellena todos los atributos del principal de su solicitud a partir de las afirmaciones que figuran en la identificación de los usuarios o en los tokens de acceso. Puede autorizar acciones y recursos a partir de los atributos de usuario o la pertenencia a un grupo en un grupo de usuarios de Amazon Cognito.

No puede incluir información sobre los tipos principales de grupos o usuarios en una IsAuthorizedWithToken solicitud. Debe rellenar todos los datos principales con los JWT que haya proporcionado.

BatchIsAuthorized

La BatchIsAuthorized operación procesa varias decisiones de autorización para un único principal o recurso en una sola API solicitud. Esta operación agrupa las solicitudes en una sola operación por lotes que minimiza el uso de la cuota y devuelve las decisiones de autorización para cada una de las 30 acciones anidadas complejas. Con la autorización por lotes para un único recurso, puede filtrar las acciones que un usuario puede realizar en un recurso. Con la autorización por lotes para un único principal, puede filtrar los recursos sobre los que un usuario puede realizar acciones.

BatchIsAuthorizedWithToken

La BatchIsAuthorizedWithToken operación procesa varias decisiones de autorización para un único principal en una sola API solicitud. El principal lo proporciona la fuente de identidad del almacén de políticas en un identificador o token de acceso. Esta operación agrupa las solicitudes en una sola operación por lotes que minimiza el uso de la cuota y devuelve las decisiones de autorización para cada una de las 30 solicitudes de acciones y recursos como máximo. En sus políticas, puede autorizar su acceso desde sus atributos o su pertenencia a un grupo de usuarios de Amazon Cognito.

Del mismo IsAuthorizedWithToken modo, no puede incluir información sobre los principales tipos de grupos o usuarios en una BatchIsAuthorizedWithToken solicitud. Debe rellenar todos los datos principales con los JWT que haya proporcionado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Asignación de tokens al esquema

Pruebe el modelo