接続された API と ID プロバイダーを使用してポリシーストアを作成する

Amazon Verified Permissions の一般的なユースケースは、アプリケーションクライアントからバックエンド API へのリクエストを許可することです。 AWS には、アプリケーションユーザーの認証用のサービス Amazon Amazon Cognitoがあります。 AWS には、セキュアなホスト APIs用のサービスもあります。Amazon API Gateway。Verified Permissions ポリシーストアをこれら 2 つの と組み合わせると AWS サービス、一貫性のある一元化されたポリシーセットを使用して、アプリケーション内のユーザープール認証と API 認証を接続できます。Verified Permissions ポリシーストアには、Amazon Cognito ユーザープール ID ソースと API Gateway APIs。

既存のユーザープールと API にリンクされたポリシーストアを作成するには、新しいポリシーストア を作成するときに Cognito と API Gateway でセットアップを選択します。

API にリンクされたポリシーストアは、認証リクエストの認証モデルとリソースを自動的にプロビジョニングします。Cognito と API Gateway でのセットアップの作成プロセスでは、ユーザープール ID ソースと、API Gateway を Verified Permissions に接続する Lambda オーソライザーを含むポリシーストアが生成されます。最初は、ユーザーのグループメンバーシップに基づいて API リクエストを承認できます。例えば、Verified Permissions は、Directorsグループのメンバーであるユーザーにのみアクセス権を付与できます。

アプリケーションが大きくなるにつれて、ユーザー属性と OAuth 2.0 スコープを使用してきめ細かな認証を実装できます。例えば、Verified Permissions は、ドメイン に email 属性を持つユーザーにのみアクセスを許可できますmycompany.co.uk。

API の認証モデルを自動化した後、残りの責任は、ユーザーを認証し、アプリケーションで API リクエストを生成し、ポリシーストアを維持することです。

詳細については、「API リンクポリシーストア」を参照してください。