Verifica del tuo modello di autorizzazione - Autorizzazioni verificate da Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Verifica del tuo modello di autorizzazione

Per comprendere l'effetto della decisione di autorizzazione di Amazon Verified Permissions quando distribuisci la tua applicazione, puoi valutare le tue politiche man mano che le sviluppi con Utilizzo del banco di prova Amazon Verified Permissions e con le HTTPS REST API richieste di Autorizzazioni verificate. Il banco di prova è uno strumento AWS Management Console per valutare le richieste e le risposte di autorizzazione nel tuo archivio di politiche.

Le autorizzazioni verificate rappresentano REST API il passaggio successivo dello sviluppo da una comprensione concettuale alla progettazione dell'applicazione. Le autorizzazioni verificate API accettano le richieste di autorizzazione con IsAuthorizede BatchIsAuthorizedcome AWS APIrichieste firmate agli endpoint di servizio regionali. IsAuthorizedWithToken Per testare il tuo modello di autorizzazione, puoi generare richieste con qualsiasi API cliente e verificare che le tue politiche restituiscano le decisioni di autorizzazione previste.

Ad esempio, è possibile eseguire il test IsAuthorized in un archivio di policy di esempio con la procedura seguente.

Test bench

  1. Apri la console delle autorizzazioni verificate all'indirizzo https://console.aws.amazon.com/verifiedpermissions/. Crea un policy store dal Policy Store di esempio con il nome DigitalPetStore.

  2. Seleziona Test bench nel tuo nuovo policy store.

  3. Compila la tua richiesta di test bench dal IsAuthorizedriferimento Autorizzazioni API verificate. I seguenti dettagli replicano le condizioni dell'Esempio 4 che fanno riferimento al campione. DigitalPetStore

    1. Imposta Alice come principale. Affinché il preside agisca, scegli DigitalPetStore::User ed entraAlice.

    2. Imposta il ruolo di Alice come cliente. Scegli Aggiungi un genitoreDigitalPetStore::Role, scegli e inserisci Cliente.

    3. Imposta la risorsa come ordine «1234». Per la risorsa su cui agisce il principale, scegli DigitalPetStore::Order ed inserisci1234.

    4. La DigitalPetStore::Order risorsa richiede un owner attributo. Imposta Alice come proprietaria dell'ordine. Scegli DigitalPetStore::User ed entra Alice

    5. Alice ha richiesto di visualizzare l'ordine. Per Azione che il preside sta intraprendendo, scegliDigitalPetStore::Action::"GetOrder".

  4. Scegli Esegui richiesta di autorizzazione. In un archivio di policy non modificato, questa richiesta genera una ALLOW decisione. Nota la politica di soddisfazione che ha restituito la decisione.

  5. Scegli Politiche dalla barra di navigazione a sinistra. Consulta la politica statica con la descrizione Customer Role - Get Order.

  6. Tieni presente che Verified Permissions ha consentito la richiesta perché il responsabile ricopriva il ruolo di cliente ed era il proprietario della risorsa.

REST API

  1. Apri la console delle autorizzazioni verificate all'indirizzo. https://console.aws.amazon.com/verifiedpermissions/ Crea un policy store dal Policy Store di esempio con il nome DigitalPetStore.

  2. Annota l'ID del Policy Store del tuo nuovo Policy Store.

  3. Dal IsAuthorizedAPIriferimento Autorizzazioni verificate, copia il corpo della richiesta dell'Esempio 4 che fa riferimento all'DigitalPetStoreesempio.

  4. Apri il API client e crea una richiesta all'endpoint di servizio regionale per il tuo policy store. Compila le intestazioni come mostrato nell'esempio.

  5. Incolla il corpo della richiesta di esempio e modifica il valore di nell'ID del policyStoreId Policy Store che hai annotato in precedenza.

  6. Invia la richiesta ed esamina i risultati. In un archivio di DigitalPetStorepolicy predefinito, questa richiesta restituisce una ALLOW decisione.

È possibile apportare modifiche alle politiche, allo schema e alle richieste nell'ambiente di test per modificare i risultati e produrre decisioni più complesse.

  1. Modifica la richiesta in modo da modificare la decisione presa in Autorizzazioni verificate. Ad esempio, modifica il ruolo di Alice Employee o modifica l'ownerattributo dell'ordine 1234 inBob.

  2. Modifica le politiche in modo da influire sulle decisioni di autorizzazione. Ad esempio, modifica la politica con la descrizione Customer Role - Get Order per rimuovere la condizione che User deve essere il proprietario della Resource e modifica la richiesta in modo che Bob desideri visualizzare l'ordine.

  3. Modifica lo schema per consentire alle politiche di prendere decisioni più complesse. Aggiorna le entità della richiesta in modo che Alice possa soddisfare i nuovi requisiti. Ad esempio, modifica lo schema User per consentire di essere membro di ActiveUsers oInactiveUsers. Aggiorna la politica in modo che solo gli utenti attivi possano visualizzare i propri ordini. Aggiorna le entità della richiesta in modo che Alice sia un utente attivo o inattivo.