Membuat toko kebijakan Izin Terverifikasi - Izin Terverifikasi Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat toko kebijakan Izin Terverifikasi

Anda dapat membuat toko kebijakan menggunakan metode berikut:

  • Ikuti pengaturan terpandu — Anda akan menentukan jenis sumber daya dengan tindakan yang valid dan tipe utama sebelum membuat kebijakan pertama Anda.

  • Siapkan dengan API Gateway dan sumber identitas — Tentukan entitas utama Anda dengan pengguna yang masuk dengan penyedia identitas (iDP), serta entitas tindakan dan sumber daya Anda dari Amazon API Gateway. API Kami merekomendasikan opsi ini jika Anda ingin aplikasi Anda mengotorisasi API permintaan dengan keanggotaan grup pengguna.

  • Mulai dari toko kebijakan sampel — Pilih toko kebijakan proyek sampel yang telah ditentukan sebelumnya. Kami merekomendasikan opsi ini jika Anda mempelajari tentang Izin Terverifikasi dan ingin melihat dan menguji kebijakan contoh.

  • Buat toko kebijakan kosong — Anda akan menentukan skema dan semua kebijakan akses sendiri. Kami merekomendasikan opsi ini jika Anda sudah terbiasa dengan mengonfigurasi toko kebijakan.

Guided setup
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyiapan Terpandu

Panduan penyiapan terpandu mengarahkan Anda melalui proses pembuatan iterasi pertama penyimpanan kebijakan Anda. Anda akan membuat skema untuk jenis sumber daya pertama Anda, menjelaskan tindakan yang berlaku untuk jenis sumber daya tersebut, dan jenis utama yang Anda berikan izin. Anda kemudian akan membuat kebijakan pertama Anda. Setelah menyelesaikan wizard ini, Anda akan dapat menambahkan ke toko kebijakan Anda, memperluas skema untuk menjelaskan sumber daya dan jenis utama lainnya, dan membuat kebijakan dan templat tambahan.

  1. Di konsol Izin Terverifikasi, pilih Buat toko kebijakan baru.

  2. Di bagian Opsi awal, pilih Pengaturan terpandu.

  3. Masukkan deskripsi toko Kebijakan. Teks ini dapat berupa apa pun yang sesuai dengan organisasi Anda sebagai referensi ramah ke fungsi toko kebijakan saat ini, misalnya Pembaruan cuaca.

  4. Di bagian Detail, ketik Namespace untuk skema Anda.

  5. Pilih Berikutnya.

  6. Pada jendela Jenis sumber daya, ketikkan nama untuk jenis sumber daya Anda.

  7. (Opsional) Pilih Tambahkan atribut untuk menambahkan atribut sumber daya. Ketik nama Atribut dan pilih tipe Atribut untuk setiap atribut sumber daya. Pilih apakah setiap atribut Wajib. Izin Terverifikasi menggunakan nilai atribut yang ditentukan saat memverifikasi kebijakan terhadap skema. Untuk menghapus atribut yang telah ditambahkan untuk jenis sumber daya, pilih Hapus di sebelah atribut.

  8. Di bidang Tindakan, ketik tindakan yang akan diotorisasi untuk jenis sumber daya yang ditentukan. Untuk menambahkan tindakan tambahan untuk jenis sumber daya, pilih Tambahkan tindakan. Untuk menghapus tindakan yang telah ditambahkan untuk jenis sumber daya, pilih Hapus di samping tindakan.

  9. Di bidang Nama tipe utama, ketikkan nama untuk jenis prinsipal yang akan menggunakan tindakan yang ditentukan untuk jenis sumber daya Anda.

  10. Pilih Berikutnya.

  11. Pada jendela Principal type, pilih sumber identitas untuk tipe utama Anda.

    • Pilih Kustom jika ID dan atribut kepala sekolah akan diberikan langsung oleh aplikasi Izin Terverifikasi Anda. Pilih Tambahkan atribut untuk menambahkan atribut utama. Ketik nama Atribut dan pilih tipe Atribut untuk setiap atribut prinicpal. Izin Terverifikasi menggunakan nilai atribut yang ditentukan saat memverifikasi kebijakan terhadap skema. Untuk menghapus atribut yang telah ditambahkan untuk tipe prinicpal, pilih Hapus di sebelah atribut.

    • Pilih Kumpulan Pengguna Cognito jika ID dan atribut prinsipal akan diberikan dari ID atau token akses yang dihasilkan oleh Amazon Cognito. Pilih Connect user pool. Pilih Wilayah AWSdan ketik ID kumpulan pengguna dari kumpulan pengguna Amazon Cognito untuk disambungkan. Pilih Hubungkan. Untuk informasi selengkapnya, lihat Otorisasi dengan Izin Terverifikasi Amazon di Panduan Pengembang Amazon Cognito.

  12. Pilih Berikutnya.

  13. Di bagian Detail kebijakan, ketikkan deskripsi Kebijakan opsional untuk kebijakan Cedar pertama Anda.

  14. Di bidang cakupan Prinsipal, pilih prinsipal yang akan diberikan izin dari kebijakan.

    • Pilih Kepala Sekolah Khusus untuk menerapkan kebijakan ke kepala sekolah tertentu. Pilih prinsipal di Principal yang akan diizinkan untuk mengambil tindakan dan ketik pengenal entitas untuk prinsipal.

    • Pilih Semua kepala sekolah untuk menerapkan kebijakan ini ke semua kepala sekolah di toko polis Anda.

  15. Di bidang lingkup Sumber Daya, pilih sumber daya mana yang akan diberi wewenang untuk ditindaklanjuti oleh prinsipal tertentu.

    • Pilih Sumber daya khusus untuk menerapkan kebijakan ke sumber daya tertentu. Pilih sumber daya di Sumber daya yang harus diterapkan kebijakan ini ke bidang dan ketik pengenal entitas untuk sumber daya.

    • Pilih Semua sumber daya untuk menerapkan kebijakan ke semua sumber daya di toko kebijakan Anda.

  16. Di bidang lingkup Tindakan, pilih tindakan mana yang akan diotorisasi oleh prinsipal tertentu untuk dilakukan.

    • Pilih Kumpulan tindakan khusus untuk menerapkan kebijakan pada tindakan tertentu. Pilih kotak centang di samping tindakan dalam bidang Tindakan yang harus diterapkan kebijakan ini.

    • Pilih Semua tindakan untuk menerapkan kebijakan ke semua tindakan di toko kebijakan Anda.

  17. Tinjau kebijakan di bagian Pratinjau kebijakan. Pilih Buat toko kebijakan.

Set up with API Gateway and an identity source
Untuk membuat penyimpanan kebijakan menggunakan metode Pengaturan dengan API Gateway dan konfigurasi sumber identitas

Opsi API Gateway diamankan APIs dengan kebijakan Izin Terverifikasi yang dirancang untuk membuat keputusan otorisasi dari grup, atau peran pengguna. Opsi ini membangun penyimpanan kebijakan untuk menguji otorisasi dengan grup sumber identitas dan dengan otorisasi Lambda. API

Pengguna dan grup mereka dalam IDP menjadi prinsipal Anda (token ID) atau konteks Anda (token akses). Metode dan jalur di API Gateway API menjadi tindakan yang diizinkan oleh kebijakan Anda. Aplikasi Anda menjadi sumber daya. Sebagai hasil dari alur kerja ini, Izin Terverifikasi membuat penyimpanan kebijakan, fungsi Lambda, dan otorisasi Lambda. API Anda harus menetapkan otorisasi Lambda ke API Anda setelah Anda menyelesaikan alur kerja ini.

  1. Di konsol Izin Terverifikasi, pilih Buat toko kebijakan baru.

  2. Di bagian Opsi awal, pilih Mengatur dengan API Gateway dan sumber identitas dan pilih Berikutnya.

  3. Pada langkah Impor sumber daya dan tindakan API, di bawah, pilih API yang akan berfungsi sebagai model untuk sumber daya dan tindakan penyimpanan kebijakan Anda.

    1. Pilih tahap Deployment dari tahapan yang dikonfigurasi di Anda API dan pilih Impor API. Untuk informasi selengkapnya tentang API tahapan, lihat Menyiapkan tahapan untuk REST API di Panduan Pengembang Amazon API Gateway.

    2. Pratinjau Peta sumber daya dan tindakan yang diimpor.

    3. Untuk memperbarui sumber daya atau tindakan, ubah API jalur atau metode Anda dan pilih Impor API.

    4. Ketika Anda puas dengan pilihan Anda, pilih Berikutnya.

  4. Di Sumber identitas, pilih jenis penyedia Identitas. Anda dapat memilih kumpulan pengguna Amazon Cognito atau tipe IdP OpenID Connect ()OIDC.

  5. Jika Anda memilih Amazon Cognito:

    1. Pilih kumpulan pengguna yang sama Wilayah AWS dan Akun AWS sebagai toko kebijakan Anda.

    2. Pilih jenis Token yang akan diteruskan ke API yang ingin Anda kirimkan untuk otorisasi. Salah satu jenis token berisi grup pengguna, dasar dari model otorisasi API -linked ini.

    3. Di bawah Validasi klien App, Anda dapat membatasi cakupan penyimpanan kebijakan ke subset klien aplikasi Amazon Cognito di kumpulan pengguna multi-penyewa. Untuk mengharuskan pengguna melakukan autentikasi dengan satu atau beberapa klien aplikasi tertentu di kumpulan pengguna Anda, pilih Hanya terima token dengan klien IDs aplikasi yang diharapkan. Untuk menerima pengguna yang melakukan autentikasi dengan kumpulan pengguna, pilih Jangan memvalidasi klien aplikasi. IDs

    4. Pilih Berikutnya.

  6. Jika Anda memilih OIDCpenyedia:

    1. Di Emiten URL, masukkan URL OIDC penerbit Anda. Ini adalah titik akhir layanan yang menyediakan server otorisasi, kunci penandatanganan, dan informasi lain tentang penyedia Anda, misalnya. https://auth.example.com Penerbit Anda URL harus meng-host dokumen OIDC penemuan di/.well-known/openid-configuration.

    2. Dalam jenis Token, pilih jenis OIDC JWT yang Anda ingin aplikasi Anda kirimkan untuk otorisasi. Untuk informasi selengkapnya, lihat Memetakan token penyedia identitas ke skema.

    3. Dalam klaim Token, pilih cara menyiapkan atribut pengguna di toko kebijakan Anda. Atribut ini menentukan klaim yang dapat dirujuk oleh kebijakan Anda.

      1. Pilih sumber Klaim.

        1. Untuk memberikan contoh token, pilih Ekstrak dari JWT payload dan tempel payload dari jenis Token yang JWT Anda pilih. JWTsberisi header, payload, dan tanda tangan. Sampel Anda JWT harus didekodekan dan hanya muatan. Untuk mengurai payload, pilih Extract.

        2. Untuk memasukkan set atribut Anda sendiri, pilih Masukkan klaim secara manual.

      2. Masukkan atau konfirmasikan setiap nama klaim Token dan jenis nilai Klaim yang ingin Anda tambahkan ke atribut prinsipal pengguna atau konteks tindakan dalam skema Anda.

    4. Dalam klaim Pengguna dan grup, pilih klaim Pengguna untuk sumber identitas. Ini adalah klaim, biasanyasub, dari ID atau token akses Anda yang memegang pengenal unik untuk entitas yang akan dievaluasi. Identitas dari OIDC iDP yang terhubung akan dipetakan ke jenis pengguna di toko kebijakan Anda.

    5. Dalam klaim Pengguna dan grup, pilih klaim Grup untuk sumber identitas. Ini adalah klaim, biasanyagroups, dari ID atau token akses Anda yang berisi daftar grup pengguna. Toko kebijakan Anda akan mengotorisasi permintaan berdasarkan keanggotaan grup.

    6. Dalam validasi Audiens atau Klien IDs, masukkan klien IDs atau audiens URLs yang ingin diterima oleh toko kebijakan Anda dalam permintaan otorisasi, jika ada. Untuk token akses, masukkan nilai klaim audiens sepertihttps://myapp.example.com. Untuk token ID, masukkan ID klien seperti1example23456789.

    7. Pilih Berikutnya.

  7. Jika Anda memilih Amazon Cognito, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk grup. Untuk OIDC penyedia, masukkan nama grup secara manual. Langkah Tetapkan tindakan ke grup membuat kebijakan untuk penyimpanan kebijakan Anda yang mengizinkan anggota grup melakukan tindakan.

    1. Pilih atau tambahkan grup yang ingin Anda sertakan dalam kebijakan Anda.

    2. Tetapkan tindakan ke setiap grup yang Anda pilih.

    3. Pilih Berikutnya.

  8. Di Deploy integrasi aplikasi, tinjau langkah-langkah yang akan diambil Izin Terverifikasi untuk membuat toko kebijakan dan otorisasi Lambda Anda.

  9. Saat Anda siap membuat sumber daya baru, pilih Buat dan terapkan.

  10. Biarkan langkah status penyimpanan Kebijakan tetap terbuka di browser Anda untuk memantau kemajuan pembuatan sumber daya berdasarkan Izin Terverifikasi.

  11. Setelah beberapa waktu, biasanya sekitar satu jam, atau ketika langkah otorisasi Lambda Deploy menunjukkan Sukses, konfigurasikan otorisasi Anda.

    Izin Terverifikasi akan membuat fungsi Lambda dan otorisasi Lambda di Anda. API Pilih Buka API untuk menavigasi ke AndaAPI.

    Untuk mempelajari cara menetapkan otorisasi Lambda, lihat Menggunakan otorisasi API Gateway Lambda di Panduan Pengembang Amazon Gateway. API

    1. Arahkan ke Authorizer untuk Anda API dan catat nama otorisasi yang dibuat oleh Izin Terverifikasi.

    2. Arahkan ke Sumber Daya dan pilih metode tingkat atas di bagian AndaAPI.

    3. Pilih Edit di bawah Pengaturan permintaan metode.

    4. Atur Authorizer menjadi nama otorisasi yang Anda catat sebelumnya.

    5. HTTPPerluas header permintaan, masukkan Nama atauAUTHORIZATION, dan pilih Diperlukan.

    6. Menyebarkan API panggung.

    7. Simpan perubahan Anda.

  12. Uji otorisasi Anda dengan token kumpulan pengguna dari jenis Token yang Anda pilih di langkah Pilih sumber identitas. Untuk informasi selengkapnya tentang login dan mengambil token kumpulan pengguna, lihat Alur autentikasi kumpulan pengguna di Panduan Pengembang Amazon Cognito.

  13. Uji otentikasi lagi dengan token kumpulan pengguna di AUTHORIZATION header permintaan ke AndaAPI.

  14. Periksa toko kebijakan baru Anda. Menambahkan dan menyempurnakan kebijakan.

Sample policy store
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyimpanan kebijakan Sample

  1. Di bagian Opsi awal, pilih Contoh penyimpanan kebijakan.

  2. Di bagian proyek Contoh, pilih jenis contoh aplikasi Izin Terverifikasi yang akan digunakan.

    • PhotoFlashadalah contoh aplikasi web yang menghadap pelanggan yang memungkinkan pengguna untuk berbagi foto dan album individual dengan teman-teman. Pengguna dapat mengatur izin berbutir halus tentang siapa yang diizinkan untuk melihat, mengomentari, dan membagikan kembali foto mereka. Pemilik akun juga dapat membuat grup teman dan mengatur foto ke dalam album.

    • DigitalPetStoreadalah contoh aplikasi di mana siapa pun dapat mendaftar dan menjadi pelanggan. Pelanggan dapat menambahkan hewan peliharaan untuk dijual, mencari hewan peliharaan, dan memesan. Pelanggan yang telah menambahkan hewan peliharaan dicatat sebagai pemilik hewan peliharaan. Pemilik hewan peliharaan dapat memperbarui detail hewan peliharaan, mengunggah gambar hewan peliharaan, atau menghapus daftar hewan peliharaan. Pelanggan yang telah melakukan pemesanan dicatat sebagai pemilik pesanan. Pemilik pesanan bisa mendapatkan detail pesanan atau membatalkannya. Manajer toko hewan peliharaan memiliki akses administratif.

      catatan

      Penyimpanan kebijakan DigitalPetStoresampel tidak menyertakan templat kebijakan. Toko kebijakan PhotoFlashdan TinyTodocontoh menyertakan templat kebijakan.

    • TinyTodoadalah contoh aplikasi yang memungkinkan pengguna untuk membuat taks dan daftar tugas. Pemilik daftar dapat mengelola dan membagikan daftar mereka dan menentukan siapa yang dapat melihat atau mengedit daftar mereka.

  3. Namespace untuk skema penyimpanan kebijakan sampel Anda dibuat secara otomatis berdasarkan proyek sampel yang Anda pilih.

  4. Pilih Buat toko kebijakan.

    Toko kebijakan Anda dibuat dengan kebijakan dan skema untuk toko kebijakan sampel yang Anda pilih. Untuk informasi selengkapnya tentang kebijakan terkait templat yang dapat Anda buat untuk penyimpanan kebijakan sampel, lihat. Izin Terverifikasi Amazon contoh kebijakan terkait templat

Empty policy store
Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi penyimpanan kebijakan Kosong

  1. Di bagian Opsi awal, pilih Kosongkan toko kebijakan.

  2. Pilih Buat toko kebijakan.

Penyimpanan kebijakan kosong dibuat tanpa skema, yang berarti kebijakan tidak divalidasi. Untuk informasi selengkapnya tentang memperbarui skema untuk toko kebijakan Anda, lihatSkema toko kebijakan Izin Terverifikasi Amazon.

Untuk informasi selengkapnya tentang membuat kebijakan untuk toko kebijakan Anda, lihat Membuat kebijakan statis Izin Terverifikasi Amazon danMembuat kebijakan terkait templat Izin Terverifikasi Amazon.

AWS CLI
Untuk membuat toko kebijakan kosong dengan menggunakan file AWS CLI.

Anda dapat membuat toko kebijakan dengan menggunakan create-policy-store operasi.

catatan

Toko kebijakan yang Anda buat dengan menggunakan kosong. AWS CLI 

$ aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"
{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}
AWS SDKs

Anda dapat membuat toko kebijakan menggunakan CreatePolicyStoreAPI. Untuk informasi selengkapnya, lihat CreatePolicyStoredi Panduan API Referensi Izin Terverifikasi Amazon.