Creazione di archivi di policy per le autorizzazioni verificate

È possibile creare un archivio delle politiche utilizzando i seguenti metodi:

Segui una configurazione guidata: definirai un tipo di risorsa con azioni valide e un tipo principale prima di creare la tua prima politica.
Configurazione con API Gateway e una fonte di identità: definisci le tue entità principali con gli utenti che accedono con un provider di identità (IdP) e le tue azioni e le entità di risorse da un'API Amazon API Gateway. Ti consigliamo questa opzione se desideri che la tua applicazione autorizzi le richieste API con l'appartenenza al gruppo degli utenti.
Inizia da un esempio di policy store: scegli un esempio di policy store di progetto predefinito. Ti consigliamo questa opzione se stai imparando a conoscere le autorizzazioni verificate e desideri visualizzare e testare politiche di esempio.
Crea un archivio delle politiche vuoto: definirai tu stesso lo schema e tutte le politiche di accesso. Consigliamo questa opzione se avete già dimestichezza con la configurazione di un policy store.

Guided setup

Per creare un policy store utilizzando il metodo di configurazione con configurazione guidata

La procedura guidata di configurazione guida l'utente attraverso il processo di creazione della prima iterazione del policy store. Creerai uno schema per il tuo primo tipo di risorsa, descriverai le azioni applicabili a quel tipo di risorsa e il tipo principale per il quale concedi le autorizzazioni. Creerai quindi la tua prima politica. Una volta completata questa procedura guidata, sarà possibile aggiungerle al proprio archivio delle politiche, estendere lo schema per descrivere altri tipi di risorse e principali e creare criteri e modelli aggiuntivi.

Nella console Autorizzazioni verificate, seleziona Crea nuovo archivio di politiche.
Nella sezione Opzioni di avvio, scegli Configurazione guidata.
Inserisci una descrizione del Policy store. Questo testo può essere quello che più si addice all'organizzazione come riferimento esplicito alla funzione dell'attuale archivio delle politiche, ad esempio Weather updates.
Nella sezione Dettagli, digitate un Namespace per lo schema.
Seleziona Successivo.
Nella finestra Tipo di risorsa, digita un nome per il tipo di risorsa.
(Facoltativo) Scegliete Aggiungi un attributo per aggiungere gli attributi della risorsa. Digitate il nome dell'attributo e scegliete un tipo di attributo per ogni attributo della risorsa. Scegli se ogni attributo è obbligatorio. Verified Permissions utilizza i valori degli attributi specificati per verificare le politiche rispetto allo schema. Per rimuovere un attributo che è stato aggiunto per il tipo di risorsa, scegli Rimuovi accanto all'attributo.
Nel campo Azioni, digita le azioni da autorizzare per il tipo di risorsa specificato. Per aggiungere azioni aggiuntive per il tipo di risorsa, scegli Aggiungi un'azione. Per rimuovere un'azione che è stata aggiunta per il tipo di risorsa, scegli Rimuovi accanto all'azione.
Nel campo Nome del tipo principale, digita il nome di un tipo di principale che utilizzerà le azioni specificate per il tipo di risorsa.
Seleziona Successivo.
Nella finestra Tipo principale, scegli la fonte di identità per il tuo tipo principale.
- Scegli Personalizzato se l'ID e gli attributi del principale verranno forniti direttamente dall'applicazione Autorizzazioni verificate. Scegli Aggiungi un attributo per aggiungere gli attributi principali. Digita il nome dell'attributo e scegli un tipo di attributo per ogni attributo del principale. Verified Permissions utilizza i valori degli attributi specificati per verificare le politiche rispetto allo schema. Per rimuovere un attributo che è stato aggiunto per il tipo principale, scegli Rimuovi accanto all'attributo.
- Scegli Cognito User Pool se l'ID e gli attributi del principale verranno forniti da un ID o da un token di accesso generato da Amazon Cognito. Scegli Connect user pool. Seleziona Regione AWSe digita l'ID del pool di utenti di Amazon Cognito a cui connetterti. Scegli Connetti. Per ulteriori informazioni, consulta Authorization with Amazon Verified Permissions nella Amazon Cognito Developer Guide.
Seleziona Successivo.
Nella sezione Dettagli della politica, digita una descrizione facoltativa della politica per la tua prima politica Cedar.
Nel campo Ambito dei principi, scegli i principali a cui verranno concesse le autorizzazioni previste dalla politica.
- Scegli Principio specifico per applicare la politica a un principio specifico. Scegli il principale nel campo Principal a cui sarà consentito intraprendere azioni e digita un identificatore di entità per il principale.
- Scegli Tutti i mandanti per applicare la politica a tutti i mandanti del tuo archivio polizze.
Nel campo Ambito delle risorse, scegli su quali risorse i responsabili specificati saranno autorizzati ad agire.
- Scegli Risorsa specifica per applicare la politica a una risorsa specifica. Scegli la risorsa nel campo Risorsa a cui questo criterio dovrebbe applicarsi e digita un identificatore di entità per la risorsa.
- Scegli Tutte le risorse per applicare la politica a tutte le risorse del tuo archivio delle politiche.
Nel campo Ambito delle azioni, scegli le azioni che i responsabili specificati saranno autorizzati a eseguire.
- Scegli Set specifico di azioni per applicare la politica a azioni specifiche. Seleziona le caselle di controllo accanto alle azioni nel campo Azioni a cui questo criterio dovrebbe applicarsi.
- Scegli Tutte le azioni per applicare la politica a tutte le azioni nel tuo archivio delle politiche.
Consulta la politica nella sezione Anteprima della politica. Scegli Crea archivio di politiche.

Set up with API Gateway and an identity source

Per creare un archivio di policy utilizzando il metodo di configurazione Setup with API Gateway e un metodo di configurazione Identity Source

L'opzione API Gateway protegge le API con politiche di autorizzazione verificate progettate per prendere decisioni di autorizzazione in base ai gruppi o ai ruoli degli utenti. Questa opzione crea un archivio di politiche per testare l'autorizzazione con gruppi di origini di identità e un'API con un autorizzatore Lambda.

Gli utenti e i relativi gruppi in un IdP diventano i tuoi principali (token ID) o il tuo contesto (token di accesso). I metodi e i percorsi in un'API API Gateway diventano le azioni autorizzate dalle policy. La tua applicazione diventa la risorsa. Come risultato di questo flusso di lavoro, Verified Permissions crea un archivio di politiche, una funzione Lambda e un autorizzatore API Lambda. È necessario assegnare l'autorizzatore Lambda all'API dopo aver completato questo flusso di lavoro.

Nella console Autorizzazioni verificate, seleziona Crea nuovo archivio di politiche.
Nella sezione Opzioni di avvio, scegli Configura con API Gateway e un'origine di identità e seleziona Avanti.
Nella fase Importa risorse e azioni, in API, scegli un'API che funga da modello per le risorse e le azioni del tuo policy store.
1. Scegli una fase di implementazione tra le fasi configurate nella tua API e seleziona Importa API. Per ulteriori informazioni sulle fasi dell'API, consulta Configurazione di una fase per un'API REST nella Amazon API Gateway Developer Guide.
2. Visualizza un'anteprima della mappa delle risorse e delle azioni importate.
3. Per aggiornare risorse o azioni, modifica i percorsi o i metodi delle API e seleziona Importa API.
4. Quando sei soddisfatto delle tue scelte, scegli Avanti.
In Identity source, scegli un tipo di provider di identità. Puoi scegliere un pool di utenti Amazon Cognito o un tipo di IdP OpenID Connect (OIDC).
Se hai scelto Amazon Cognito:
1. Scegli un pool di utenti nello stesso archivio delle Regione AWS polizze Account AWS .
2. Scegli il tipo di token da passare all'API che desideri inviare per l'autorizzazione. Entrambi i tipi di token contengono gruppi di utenti, la base di questo modello di autorizzazione collegato all'API.
3. In App client validation, puoi limitare l'ambito di un policy store a un sottoinsieme dei client dell'app Amazon Cognito in un pool di utenti multi-tenant. Per richiedere l'autenticazione dell'utente con uno o più client di app specifici nel tuo pool di utenti, seleziona Accetta solo token con gli ID client dell'app previsti. Per accettare qualsiasi utente che si autentichi con il pool di utenti, seleziona Non convalidare gli ID dei client dell'app.
4. Seleziona Successivo.
Se hai scelto il provider OIDC:
1. In URL dell'emittente, inserisci l'URL dell'emittente OIDC. Questo è l'endpoint del servizio che fornisce, ad esempio, il server di autorizzazione, le chiavi di firma e altre informazioni sul provider. https://auth.example.com L'URL dell'emittente deve ospitare un documento di rilevamento OIDC presso. /.well-known/openid-configuration
2. In Tipo di token, scegli il tipo di OIDC JWT che desideri che la tua applicazione invii per l'autorizzazione. Per ulteriori informazioni, consulta Utilizzo delle fonti di identità negli schemi e nelle politiche.
3. In Token claims, scegli come configurare gli attributi utente nel tuo policy store. Questi attributi definiscono le affermazioni a cui possono fare riferimento le tue politiche.
  1. Scegli una fonte di reclamo.
    1. Per fornire un token di esempio, scegli Extract from JWT payload e incolla il payload di un JWT del tipo di token scelto. I JWT contengono un'intestazione, un payload e una firma. Il JWT di esempio deve essere decodificato e deve essere utilizzato solo per il payload. Per analizzare il payload, seleziona Extract.
    2. Per inserire il tuo set di attributi, scegli Inserisci reclami manualmente.
  2. Inserisci o conferma il nome di ogni attestazione Token e il tipo di valore di Claim che desideri aggiungere agli attributi del principale utente o del contesto di azione dello schema.
4. In Attestazioni utente e di gruppo, scegli un'attestazione utente per l'origine dell'identità. Si tratta in genere sub di un'attestazione derivante dal tuo ID o token di accesso che contiene l'identificatore univoco dell'entità da valutare. Le identità dell'IdP OIDC connesso verranno mappate al tipo di utente nel tuo policy store.
5. In Attestazioni utente e di gruppo, scegli un'attestazione di gruppo per l'origine dell'identità. Si tratta in genere groups di un'affermazione basata sul tuo ID o token di accesso che contiene un elenco dei gruppi dell'utente. Il tuo archivio delle politiche autorizzerà le richieste in base all'appartenenza al gruppo.
6. In Audience validation o Client ID, inserisci gli ID client o gli URL del pubblico che desideri che il tuo policy store accetti nelle richieste di autorizzazione, se presenti. Per i token di accesso, inserisci un valore di Audience claim come. https://myapp.example.com Per i token ID, inserisci un ID cliente come. 1example23456789
7. Seleziona Successivo.
Se hai scelto Amazon Cognito, Verified Permissions interroga il tuo pool di utenti per i gruppi. Per i provider OIDC, inserisci i nomi dei gruppi manualmente. Il passaggio Assegna azioni ai gruppi crea politiche per l'archivio delle politiche che consentono ai membri del gruppo di eseguire azioni.
1. Scegli o aggiungi i gruppi che desideri includere nelle tue politiche.
2. Assegna azioni a ciascuno dei gruppi selezionati.
3. Seleziona Successivo.
In Deploy app integration, esamina i passaggi che Verified Permissions eseguirà per creare il tuo policy store e l'autorizzatore Lambda.
Quando sei pronto per creare le nuove risorse, scegli Crea e distribuisci.
Tieni aperta la fase di stato del Policy store nel browser per monitorare l'avanzamento della creazione delle risorse tramite Autorizzazioni verificate.
Dopo qualche tempo, in genere circa un'ora, o quando la fase di autorizzazione Deploy Lambda mostra l'esito positivo, configura l'autorizzatore.

Verified Permissions avrà creato una funzione Lambda e un autorizzatore Lambda nella tua API. Scegli Open API per accedere alla tua API.

Per informazioni su come assegnare un'autorizzazione Lambda, consulta Use API Gateway Lambda authorizers nella Amazon API Gateway Developer Guide.
1. Accedi a Authorizers per la tua API e annota il nome dell'autorizzatore creato da Verified Permissions.
2. Vai a Risorse e seleziona un metodo di primo livello nella tua API.
3. Seleziona Modifica in Impostazioni di richiesta del metodo.
4. Imposta l'Autorizzatore in modo che sia il nome dell'autorizzatore che hai annotato in precedenza.
5. Espandi le intestazioni delle richieste HTTP, inserisci un nome o e seleziona AUTHORIZATION Obbligatorio.
6. Implementa la fase API.
7. Salva le modifiche.
Testa il tuo sistema di autorizzazione con un token del pool di utenti del tipo Token selezionato nel passaggio Scegli l'origine dell'identità. Per ulteriori informazioni sull'accesso al pool di utenti e sul recupero dei token, consulta Flusso di autenticazione del pool di utenti nella Amazon Cognito Developer Guide.
Prova nuovamente l'autenticazione con un token del pool di utenti nell'AUTHORIZATIONintestazione di una richiesta alla tua API.
Esamina il tuo nuovo archivio di politiche. Aggiungi e perfeziona le politiche.

Sample policy store

Per creare un policy store utilizzando il metodo di configurazione Sample policy store

Nella sezione Opzioni di avvio, scegli Sample policy store.
Nella sezione Progetto di esempio, scegli il tipo di applicazione di esempio per le autorizzazioni verificate da utilizzare.
- PhotoFlashè un'applicazione web di esempio rivolta ai clienti che consente agli utenti di condividere foto e album individuali con gli amici. Gli utenti possono impostare autorizzazioni dettagliate su chi è autorizzato a visualizzare, commentare e condividere nuovamente le proprie foto. I proprietari di account possono anche creare gruppi di amici e organizzare le foto in album.
- DigitalPetStore è un'applicazione di esempio in cui chiunque può registrarsi e diventare cliente. I clienti possono aggiungere animali domestici in vendita, cercare animali domestici ed effettuare ordini. I clienti che hanno aggiunto un animale domestico vengono registrati come proprietari dell'animale. I proprietari di animali domestici possono aggiornare i dettagli dell'animale, caricare un'immagine dell'animale o eliminare l'elenco degli animali domestici. I clienti che hanno effettuato un ordine vengono registrati come proprietari dell'ordine. I proprietari degli ordini possono ottenere dettagli sull'ordine o annullarlo. I gestori dei negozi di animali hanno accesso amministrativo.
  
  Nota
  L'DigitalPetarchivio di policy di esempio di Store non include modelli di policy. Gli archivi TinyTododi policy PhotoFlashe di esempio includono modelli di policy.
- TinyTodoè un'applicazione di esempio che consente agli utenti di creare attività ed elenchi di attività. I proprietari degli elenchi possono gestire e condividere i propri elenchi e specificare chi può visualizzare o modificare i propri elenchi.
Un namespace per lo schema del tuo archivio di policy di esempio viene generato automaticamente in base al progetto di esempio scelto.
Scegli Crea archivio di politiche.

Il tuo policy store viene creato con criteri e uno schema per il policy store di esempio che hai scelto. Per ulteriori informazioni sulle politiche collegate ai modelli che è possibile creare per gli archivi di policy di esempio, consulta. Esempi di politiche collegate a modelli per Autorizzazioni verificate, archivi di policy di esempio

Empty policy store

Per creare un policy store utilizzando il metodo di configurazione Empty policy store

Nella sezione Opzioni di avvio, scegli Empty policy store.
Scegli Crea archivio di politiche.

Un policy store vuoto viene creato senza uno schema, il che significa che i criteri non vengono convalidati. Per ulteriori informazioni sull'aggiornamento dello schema per il policy store, vedereSchema di archiviazione delle politiche di Amazon Verified Permissions.

Per ulteriori informazioni sulla creazione di policy per il tuo policy store, consulta Creazione di politiche statiche per le autorizzazioni verificate di Amazon eCreazione di policy collegate a modelli.

AWS CLI

Per creare un archivio delle politiche vuoto utilizzando AWS CLI.

È possibile creare un archivio delle politiche utilizzando l'create-policy-storeoperazione.

Nota

Un archivio delle politiche creato utilizzando il AWS CLI è vuoto.

Per aggiungere uno schema, vedereSchema di archiviazione delle politiche di Amazon Verified Permissions.
Per aggiungere politiche, vedereCreazione di politiche statiche per le autorizzazioni verificate di Amazon.
Per aggiungere modelli di policy, consultaCreazione di modelli di policy.


$ aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"
{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

AWS SDKs

È possibile creare un archivio di politiche utilizzando l'CreatePolicyStoreAPI. Per ulteriori informazioni, consulta CreatePolicyStore nella Amazon Verified Permissions API Reference Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Archivi di policy

Archivi di policy collegati alle API