Crear almacenes de políticas de Verified Permissions - Amazon Verified Permissions

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear almacenes de políticas de Verified Permissions

Puede crear un almacén de políticas mediante uno de los siguientes métodos:

  • Siga una configuración guiada: definirá un tipo de recurso con acciones válidas y un tipo principal antes de crear su primera política.

  • Configure con API Gateway y una fuente de identidad: defina sus entidades principales con los usuarios que inician sesión con un proveedor de identidad (IdP) y sus acciones y entidades de recursos desde una API de Amazon API Gateway. Te recomendamos esta opción si quieres que tu aplicación autorice las solicitudes de API con la pertenencia a un grupo de usuarios.

  • Comience con un almacén de políticas de muestra: elija un ejemplo de almacén de políticas de proyecto predefinido. Le recomendamos esta opción si está aprendiendo sobre Verified Permissions y quiere ver y probar ejemplos de políticas.

  • Cree un almacén de políticas vacío: definirá usted mismo el esquema y todas las políticas de acceso. Recomendamos esta opción si ya está familiarizado con la configuración de un almacén de políticas.

Guided setup
Para crear un almacén de políticas con el método Configuración guiada

El asistente de configuración guiada le guiará por el proceso de creación de la primera iteración de su almacén de políticas. Creará un esquema para el primer tipo de recurso, describirá las acciones que se aplican a ese tipo de recurso y el tipo de entidad principal para el que va a conceder permisos. A continuación, creará su primera política. Una vez que haya completado este asistente, podrá agregarla a su almacén de políticas, ampliar el esquema para describir otros tipos de recursos y entidades principales y crear políticas y plantillas adicionales.

  1. En la consola de permisos verificados, seleccione Crear un nuevo almacén de políticas.

  2. En la sección Opciones de inicio, selecciona Configuración guiada.

  3. Introduzca una descripción del almacén de políticas. Este texto puede ser el que mejor se adapte a su organización como referencia sencilla a la función del almacén de políticas actual, por ejemplo, las actualizaciones meteorológicas.

  4. En la sección Detalles, escriba un espacio de nombres para su esquema.

  5. Elija Siguiente.

  6. En la ventana Tipo de recurso, escriba un nombre para el tipo de recurso.

  7. (Opcional) Seleccione Agregar un atributo para añadir los atributos del recurso. Escriba el nombre del atributo y seleccione un tipo de atributo para cada atributo del recurso. Elija si cada atributo es obligatorio. Verified Permissions utiliza los valores de atributo especificados al verificar las políticas con el esquema. Para eliminar un atributo que se ha añadido al tipo de recurso, seleccione Eliminar junto al atributo.

  8. En el campo Acciones, escriba las acciones que se van a autorizar para el tipo de recurso especificado. Para agregar acciones adicionales para el tipo de recurso, elija Agregar una acción. Para eliminar una acción que se ha añadido al tipo de recurso, seleccione Eliminar junto a la acción.

  9. En el campo Nombre del tipo de entidad principal, escriba el nombre del tipo de entidad principal que utilizará las acciones especificadas para el tipo de recurso.

  10. Elija Siguiente.

  11. En la ventana Tipo de entidad principal, elija la fuente de identidad para su tipo de entidad principal.

    • Elija Personalizado si la aplicación de Verified Permissions proporcionará directamente el ID y los atributos de la entidad principal. Para añadir atributos a la entidad principal, elija Agregar un atributo. Escriba el nombre del atributo y seleccione un tipo de atributo para cada atributo de la entidad principal. Verified Permissions utiliza los valores de atributo especificados al verificar las políticas con el esquema. Para eliminar un atributo que se ha añadido al tipo de entidad principal, seleccione Eliminar junto al atributo.

    • Elija Grupo de usuarios de Cognito si el ID y los atributos de la entidad principal se proporcionarán a partir de un identificador o un token de acceso generado por Amazon Cognito. Seleccione Conectar grupo de usuarios. Seleccione la Región de AWSy escriba el ID del grupo de usuarios de Amazon Cognito al que desea conectarse. Elija Conectar. Para obtener más información, consulte Autorización con Amazon Verified Permissions en la Guía para desarrolladores de Amazon Cognito.

  12. Elija Siguiente.

  13. En la sección Detalles de la política, escriba una descripción de la política opcional para su primera política de Cedar.

  14. En el campo Ámbito de las entidades principales, elija las entidades principales a las que se les concederán los permisos de la política.

    • Elija Entidad principal específica para aplicar la política a una entidad principal concreta. Elija la entidad principal en el campo Entidad principal a la que se permitirá realizar acciones y escriba un identificador de entidad para la entidad principal.

    • Seleccione Todas las entidades principales para aplicar la política a todas las entidades principales de su almacén de políticas.

  15. En el campo Ámbito de los recursos, elija los recursos sobre los que las entidades principales especificadas tendrán autorización para actuar.

    • Seleccione Recurso específico para aplicar la política a un recurso específico. Elija el recurso en el campo Recurso al que se debe aplicar esta política y escriba un identificador de entidad para el recurso.

    • Seleccione Todos los recursos para aplicar la política a todos los recursos de su almacén de políticas.

  16. En el campo Ámbito de las acciones, elija las acciones para las que las entidades principales especificadas tendrán autorización para llevar a cabo.

    • Seleccione Conjunto específico de acciones para aplicar la política a acciones concretas. Seleccione las casillas de verificación situadas junto al campo Acciones a las que se debe aplicar esta política.

    • Seleccione Todas las acciones para aplicar la política a todas las acciones de su almacén de políticas.

  17. Revise la política en la sección Vista previa de la política. Seleccione Crear almacén de políticas.

Set up with API Gateway and an identity source
Para crear un almacén de políticas mediante el método de configuración Configurar con API Gateway y una fuente de identidad

La opción API Gateway protege las API con políticas de permisos verificados que están diseñadas para tomar decisiones de autorización de los grupos o roles de los usuarios. Esta opción crea un almacén de políticas para probar la autorización con grupos de fuentes de identidad y una API con un autorizador Lambda.

Los usuarios y sus grupos de un IdP se convierten en sus directores (identificadores) o en su contexto (identificadores de acceso). Los métodos y las rutas de una API API Gateway se convierten en las acciones que autorizan tus políticas. La aplicación se convierte en el recurso. Como resultado de este flujo de trabajo, Verified Permissions crea un almacén de políticas, una función Lambda y un autorizador de API Lambda. Debe asignar el autorizador Lambda a su API después de finalizar este flujo de trabajo.

  1. En la consola de permisos verificados, seleccione Crear un nuevo almacén de políticas.

  2. En la sección Opciones de inicio, elija Configurar con API Gateway y una fuente de identidad y seleccione Siguiente.

  3. En el paso Importar recursos y acciones, en API, elige una API que sirva de modelo para los recursos y acciones de tu almacén de políticas.

    1. Elija una etapa de despliegue entre las etapas configuradas en su API y seleccione Importar API. Para obtener más información sobre las etapas de la API, consulte Configuración de una etapa para una API REST en la Guía para desarrolladores de Amazon API Gateway.

    2. Obtenga una vista previa del mapa de recursos y acciones importados.

    3. Para actualizar los recursos o las acciones, modifique las rutas o los métodos de la API y seleccione Importar API.

    4. Cuando esté satisfecho con sus opciones, seleccione Siguiente.

  4. En Origen de identidad, elija un tipo de proveedor de identidad. Puede elegir un grupo de usuarios de Amazon Cognito o un tipo de IdP de OpenID Connect (OIDC).

  5. Si eligió Amazon Cognito:

    1. Elija un grupo de usuarios en el mismo almacén de políticas Región de AWS y Cuenta de AWS como él.

    2. Elija el tipo de token que desea enviar para su autorización a la API. Ambos tipos de token contienen grupos de usuarios, que son la base de este modelo de autorización vinculado a la API.

    3. En la sección Validación de clientes de aplicaciones, puede limitar el alcance de un almacén de políticas a un subconjunto de los clientes de la aplicación Amazon Cognito en un grupo de usuarios de varios inquilinos. Para solicitar que el usuario se autentique con uno o más clientes de aplicaciones específicos de su grupo de usuarios, seleccione Aceptar solo los tokens con los ID de cliente de aplicación esperados. Para aceptar a cualquier usuario que se autentique en el grupo de usuarios, selecciona No validar los ID de los clientes de la aplicación.

    4. Elija Siguiente.

  6. Si eliges el proveedor de OIDC:

    1. En la URL del emisor, introduzca la URL del emisor del OIDC. Este es el punto final del servicio que proporciona, por ejemplo, el servidor de autorización, las claves de firma y otra información sobre su proveedor. https://auth.example.com La URL del emisor debe alojar un documento de detección del OIDC en. /.well-known/openid-configuration

    2. En Tipo de token, elija el tipo de OIDC JWT que desea que envíe su solicitud de autorización. Para obtener más información, consulte Trabajar con fuentes de identidad en esquemas y políticas.

    3. En Reclamaciones de token, elige cómo quieres configurar los atributos de usuario en tu almacén de políticas. Estos atributos definen las afirmaciones a las que pueden hacer referencia tus políticas.

      1. Elige una fuente de reclamación.

        1. Para proporcionar un token de muestra, selecciona Extraer de la carga útil de JWT y pega la carga útil de un JWT del tipo de token que hayas elegido. Los JWT contienen un encabezado, una carga útil y una firma. El JWT de muestra debe estar decodificado y solo debe cargarse. Para analizar la carga útil, seleccione Extraer.

        2. Para introducir tu propio conjunto de atributos, selecciona Introducir las reclamaciones manualmente.

      2. Introduzca o confirme el nombre y el tipo de valor de cada reclamación de token que desee añadir a los atributos del contexto principal o de acción del usuario en su esquema.

    4. En las notificaciones de usuario y grupo, elija una afirmación de usuario para la fuente de identidad. Por lo generalsub, se trata de una afirmación que proviene de tu ID o token de acceso que contiene el identificador único de la entidad que se va a evaluar. Las identidades del IdP del OIDC conectado se asignarán al tipo de usuario del almacén de políticas.

    5. En Notificaciones de usuarios y grupos, elija una notificación de grupo para la fuente de identidad. Por lo generalgroups, se trata de una afirmación de tu ID o token de acceso que contiene una lista de los grupos del usuario. El almacén de políticas autorizará las solicitudes en función de la pertenencia al grupo.

    6. En Validación de audiencia o ID de cliente, introduzca los ID de cliente o las URL de audiencia que desee que su almacén de políticas acepte en las solicitudes de autorización, si las hubiera. En el caso de los tokens de acceso, introduce un valor de reclamación de audiencia, por ejemplohttps://myapp.example.com. En el caso de los identificadores, introduce un identificador de cliente similar1example23456789.

    7. Elija Siguiente.

  7. Si ha elegido Amazon Cognito, Verified Permissions consulta los grupos de usuarios. En el caso de los proveedores de OIDC, introduzca los nombres de los grupos manualmente. El paso Asignar acciones a los grupos crea políticas para el almacén de políticas que permiten a los miembros del grupo realizar acciones.

    1. Elija o añada los grupos que desee incluir en sus políticas.

    2. Asigna acciones a cada uno de los grupos que has seleccionado.

    3. Elija Siguiente.

  8. En Implementar la integración de aplicaciones, revise los pasos que Verified Permissions realizará para crear el almacén de políticas y el autorizador de Lambda.

  9. Cuando esté listo para crear los nuevos recursos, elija Crear e implementar.

  10. Mantén abierto el paso de estado del almacén de políticas en tu navegador para supervisar el progreso de la creación de recursos mediante permisos verificados.

  11. Después de algún tiempo, normalmente alrededor de una hora, o cuando el paso Implementar el autorizador Lambda muestre éxito, configure el autorizador.

    Los permisos verificados habrán creado una función de Lambda y un autorizador de Lambda en tu API. Elige Open API para ir a tu API.

    Para obtener información sobre cómo asignar un autorizador Lambda, consulte Uso de autorizadores Lambda de API Gateway en la Guía para desarrolladores de Amazon API Gateway.

    1. Diríjase a Autorizadores para su API y anote el nombre del autorizador que creó Verified Permissions.

    2. Ve a Recursos y selecciona un método de nivel superior en tu API.

    3. Selecciona Editar en la configuración de solicitud de métodos.

    4. Configure el autorizador para que sea el nombre del autorizador que anotó anteriormente.

    5. Expanda los encabezados de las solicitudes HTTP, introduzca un nombre o y seleccione AUTHORIZATION Obligatorio.

    6. Implemente la etapa de API.

    7. Guarde los cambios.

  12. Pruebe su autorizador con un token de grupo de usuarios del tipo de token que seleccionó en el paso Elegir la fuente de identidad. Para obtener más información sobre el inicio de sesión del grupo de usuarios y la recuperación de los tokens, consulte el flujo de autenticación del grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.

  13. Vuelva a probar la autenticación con un token de grupo de usuarios en el AUTHORIZATION encabezado de una solicitud a su API.

  14. Examine su nuevo almacén de políticas. Añada y perfeccione las políticas.

Sample policy store
Para crear un almacén de políticas con el método de configuración Almacén de políticas de muestra

  1. En la sección Opciones de inicio, selecciona un almacén de políticas de muestra.

  2. En la sección Ejemplo de proyecto, elija el tipo de aplicación de Verified Permissions de muestra que va a utilizar.

    • PhotoFlashes un ejemplo de aplicación web orientada al cliente que permite a los usuarios compartir fotos y álbumes individuales con amigos. Los usuarios pueden establecer permisos detallados sobre quién puede ver, comentar y volver a compartir sus fotos. Los propietarios de las cuentas también pueden crear grupos de amigos y organizar las fotos en álbumes.

    • DigitalPetStore es una aplicación de muestra en la que cualquiera puede registrarse y convertirse en cliente. Los clientes pueden añadir mascotas para vender, buscar mascotas y realizar pedidos. Los clientes que han añadido una mascota se registran como propietarios de la mascota. Los dueños de mascotas pueden actualizar los detalles de la mascota, subir una imagen de ella o eliminar la lista de mascotas. Los clientes que han realizado un pedido quedan registrados como propietarios del pedido. Los propietarios de los pedidos pueden obtener los detalles del pedido o cancelarlo. Los gerentes de las tiendas de mascotas tienen acceso de administrador.

      nota

      El DigitalPetalmacén de ejemplos de políticas de la tienda no incluye plantillas de políticas. Los almacenes TinyTodode políticas PhotoFlashy los de muestra incluyen plantillas de políticas.

    • TinyTodoes una aplicación de ejemplo que permite a los usuarios crear tareas y listas de tareas. Los propietarios de las listas pueden administrar y compartir sus listas y especificar quién puede verlas o editarlas.

  3. Se generará automáticamente un espacio de nombres para el esquema del almacén de políticas de muestra en función del proyecto de ejemplo que haya elegido.

  4. Seleccione Crear almacén de políticas.

    El almacén de políticas se crea con políticas y un esquema para el almacén de políticas de muestra que elija. Para obtener más información sobre las políticas vinculadas a plantillas que puede crear para los almacenes de políticas de muestra, consulte Ejemplos de políticas vinculadas a plantillas para almacenes de políticas de muestra de Verified Permissions.

Empty policy store
Para crear un almacén de políticas con el método de configuración Almacén de políticas vacío

  1. En la sección Opciones de inicio, elija Vacía el almacén de políticas.

  2. Seleccione Crear almacén de políticas.

Se crea un almacén de políticas vacío sin un esquema, lo que significa que las políticas no se validan. Para obtener más información acerca de cómo actualizar el esquema del almacén de políticas, consulte Esquema del almacén de políticas de Amazon Verified Permissions..

Para obtener más información sobre cómo crear políticas para su almacén de políticas, consulte Creación de políticas estáticas de Amazon Verified Permissions y Crear políticas vinculadas a plantillas.

AWS CLI
Para crear un almacén de políticas vacío mediante la AWS CLI.

Puede crear un almacén de políticas mediante la operación create-policy-store.

nota

Un almacén de políticas que se crea mediante el AWS CLI está vacío.

$ aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"
{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}
AWS SDKs

Puede crear un almacén de políticas mediante la API CreatePolicyStore. Para obtener más información, consulta CreatePolicyStore in the Amazon Verified Permissions API Reference Guide.