Solución de problemas de almacenes de políticas vinculados a API

Usa la información aquí para ayudarte a diagnosticar y solucionar problemas comunes al crear almacenes de políticas vinculados a la API de Amazon Verified Permissions.

He actualizado mi política, pero la decisión de autorización no ha cambiado

De forma predeterminada, Verified Permissions configura el autorizador Lambda para almacenar en caché las decisiones de autorización durante 120 segundos. Vuelva a intentarlo transcurridos dos minutos o desactive la memoria caché de su autorizador. Para obtener más información, consulte Habilitar el almacenamiento en caché de las API para mejorar la capacidad de respuesta en la Guía para desarrolladores de Amazon API Gateway.

He adjuntado el autorizador Lambda a mi API, pero no genera solicitudes de autorización

Para empezar a procesar las solicitudes, debe implementar la etapa de API a la que adjuntó su autorizador. Para obtener más información, consulte Implementación de una API REST en la Guía para desarrolladores de Amazon API Gateway.

He recibido una decisión de autorización inesperada y quiero revisar la lógica de autorización

El proceso del almacén de políticas vinculado a la API crea una función Lambda para el autorizador. Verified Permissions incorpora automáticamente la lógica de sus decisiones de autorización a la función de autorización. Después de crear el almacén de políticas, puede volver atrás para revisar y actualizar la lógica de la función.

Para localizar la función Lambda desde la AWS CloudFormation consola, pulse el botón Comprobar despliegue en la página de descripción general del nuevo almacén de políticas.

También puede localizar la función en la AWS Lambda consola. Navegue hasta la consola en el almacén Región de AWS de políticas y busque el nombre de una función con el prefijo deAVPAuthorizerLambda. Si ha creado más de un almacén de políticas vinculado a una API, utilice la hora de la última modificación de sus funciones para correlacionarlas con la creación del almacén de políticas.

Quiero buscar los registros de mi autorizador Lambda

Las funciones Lambda recopilan métricas y registran sus resultados de invocación en Amazon. CloudWatch Para revisar los registros, localice la función en la consola de Lambda y seleccione la pestaña Supervisar. Seleccione Ver CloudWatch registros y revise las entradas del grupo de registros.

Para obtener más información sobre los registros de funciones de Lambda, consulte Uso de Amazon CloudWatch Logs con AWS Lambda en la Guía para AWS Lambda desarrolladores.

Mi autorizador Lambda no existe

Tras completar la configuración de un almacén de políticas vinculado a la API, debe adjuntar el autorizador Lambda a la API. Si no puede ubicar su autorizador en la consola de API Gateway, es posible que los recursos adicionales de su almacén de políticas hayan fallado o que aún no se hayan implementado. Los almacenes de políticas vinculados a las API implementan estos recursos en una pila. AWS CloudFormation

Verified Permissions muestra un enlace con la etiqueta Comprobar el despliegue al final del proceso de creación. Si ya has salido de esta pantalla, ve a la CloudFormation consola y busca en las pilas recientes un nombre que lleve el prefijo. AVPAuthorizer-<policy store ID> CloudFormation proporciona información valiosa sobre la solución de problemas en el resultado de una implementación de stack.

Para obtener ayuda con la solución de problemas de CloudFormation pilas, consulte Solución de problemas CloudFormation en la Guía del AWS CloudFormation usuario.

Mi API está en una VPC privada y no puedo invocar el autorizador

Los permisos verificados no admiten el acceso a los autorizadores de Lambda a través de puntos de enlace de VPC. Debe abrir una ruta de red entre su API y la función Lambda que actúa como su autorizador.

Quiero procesar atributos de usuario adicionales en mi modelo de autorización

El proceso de almacenamiento de políticas vinculado a la API deriva las políticas de permisos verificados de las declaraciones del grupo en los tokens de los usuarios. Para actualizar su modelo de autorización y tener en cuenta otros atributos de usuario, integre esos atributos en sus políticas.

Puede asignar muchas reclamaciones de los tokens de ID y acceso de los grupos de usuarios de Amazon Cognito a las declaraciones de la política de permisos verificados. Por ejemplo, la mayoría de los usuarios tienen una email reclamación en su token de identificación. Para obtener más información sobre cómo añadir las reclamaciones de tu fuente de identidad a las políticas, consultaTrabajar con fuentes de identidad en esquemas y políticas.

Quiero añadir nuevas acciones, atributos de contexto de acción o atributos de recursos

Un almacén de políticas vinculado a una API y el autorizador Lambda que crea son un recurso. point-in-time Reflejan el estado de la API en el momento de su creación. El esquema del almacén de políticas no asigna ningún atributo de contexto a las acciones, ni ningún atributo o elemento principal al Application recurso predeterminado.

Cuando agregas acciones (rutas y métodos) a tu API, debes actualizar tu almacén de políticas para estar al tanto de las nuevas acciones. También debe actualizar su autorizador Lambda para procesar las solicitudes de autorización para las nuevas acciones. Puede empezar de nuevo con un almacén de políticas nuevo o actualizar el almacén de políticas existente.

Para actualizar tu almacén de políticas existente, localiza tu función. Examine la lógica de la función generada automáticamente y actualícela para procesar las nuevas acciones, atributos o contextos. A continuación, edite el esquema para incluir las nuevas acciones y atributos.