APIにリンクされたポリシーストアのトラブルシューティング - Amazon Verified Permissions
ポリシーを更新しましたが、承認の決定は変更されませんでしたLambda オーソライザーを にアタッチしましたAPIが、認証リクエストを生成していません予期しない承認決定を受け取り、承認ロジックを確認したいLambda オーソライザーからログを検索したいLambda オーソライザーが存在しないAPI がプライベートでVPC、オーソライザーを呼び出せない認証モデルで追加のユーザー属性を処理したい新しいアクション、アクションコンテキスト属性、またはリソース属性を追加したい

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

APIにリンクされたポリシーストアのトラブルシューティング

この情報を使用して、Amazon Verified Permissions APIにリンクされたポリシーストアを構築する際の一般的な問題の診断と修正に役立ててください。

ポリシーを更新しましたが、承認の決定は変更されませんでした

デフォルトでは、Verified Permissions は Lambda オーソライザーを設定して、承認の決定を 120 秒間キャッシュします。2 分後に再試行するか、オーソライザーのキャッシュを無効にします。詳細については、「Amazon Gateway API デベロッパーガイド」の「キャッシュを有効にして応答性を高める」を参照してください。 API

Lambda オーソライザーを にアタッチしましたAPIが、認証リクエストを生成していません

リクエストの処理を開始するには、オーソライザーをアタッチしたAPIステージをデプロイする必要があります。詳細については、「Amazon API Gateway デベロッパーガイドREST」のAPI「 のデプロイ」を参照してください。

予期しない承認決定を受け取り、承認ロジックを確認したい

APIにリンクされたポリシーストアプロセスは、オーソライザーの Lambda 関数を作成します。Verified Permissions は、承認決定のロジックをオーソライザー関数に自動的に構築します。ポリシーストアを作成した後に戻って、関数のロジックを確認および更新できます。

AWS CloudFormation コンソールから Lambda 関数を見つけるには、新しいポリシーストアの概要ページにあるデプロイの確認ボタンを選択します。

AWS Lambda コンソールで関数を見つけることもできます。ポリシーストア AWS リージョン の のコンソールに移動し、プレフィックスが の関数名を検索しますAVPAuthorizerLambda。複数の にリンクAPIされたポリシーストアを作成した場合は、関数の最終変更時刻を使用して、それらをポリシーストアの作成と関連付けます。

Lambda オーソライザーからログを検索したい

Lambda 関数はメトリクスを収集し、その呼び出し結果を Amazon に記録します CloudWatch。ログを確認するには、Lambda コンソールで関数を検索し、モニタータブを選択します。 CloudWatch ログを表示を選択し、ロググループのエントリを確認します。

Lambda 関数ログの詳細については、「 AWS Lambda デベロッパーガイド」の「 での Amazon CloudWatch Logs AWS Lambda の使用」を参照してください。

Lambda オーソライザーが存在しない

APIにリンクされたポリシーストアのセットアップが完了したら、Lambda オーソライザーを にアタッチする必要がありますAPI。API Gateway コンソールでオーソライザーが見つからない場合、ポリシーストアの追加リソースが失敗しているか、まだデプロイされていない可能性があります。APIにリンクされたポリシーストアは、これらのリソースを AWS CloudFormation スタックにデプロイします。

Verified Permissions は、作成プロセスの最後に Check deployment というラベルのリンクを表示します。すでにこの画面から移動している場合は、 CloudFormation コンソールに移動し、最近のスタックで というプレフィックスが付いた名前を検索しますAVPAuthorizer-<policy store ID>。スタックデプロイの出力には、貴重なトラブルシューティング情報 CloudFormation が表示されます。

CloudFormation スタックのトラブルシューティングについては、「 AWS CloudFormation ユーザーガイド」の「トラブルシューティング CloudFormation」を参照してください。

API がプライベートでVPC、オーソライザーを呼び出せない

Verified Permissions は、VPCエンドポイントを介した Lambda オーソライザーへのアクセスをサポートしていません。とオーソライザーとして機能する API Lambda 関数との間のネットワークパスを開く必要があります。

認証モデルで追加のユーザー属性を処理したい

APIにリンクされたポリシーストアプロセスは、ユーザーのトークンのグループクレームから Verified Permissions ポリシーを取得します。追加のユーザー属性を考慮するように承認モデルを更新するには、それらの属性をポリシーに統合します。

Amazon Cognito ユーザープールの ID トークンとアクセストークンの多くのクレームを Verified Permissions ポリシーステートメントにマッピングできます。例えば、ほとんどのユーザーは ID トークンに emailクレームを持っています。ID ソースからポリシーにクレームを追加する方法の詳細については、「」を参照してくださいID プロバイダートークンをスキーマにマッピングする

新しいアクション、アクションコンテキスト属性、またはリソース属性を追加したい

APIが作成する にリンクされたポリシーストアと Lambda オーソライザーはリソースです point-in-time。これらは、作成API時の の状態を反映します。ポリシーストアスキーマは、アクションにコンテキスト属性を割り当てたり、デフォルトApplicationリソースに属性や親を割り当てたりしません。

にパスやメソッドなどのアクションを追加する場合はAPI、新しいアクションを認識するようにポリシーストアを更新する必要があります。また、Lambda オーソライザーを更新して、新しいアクションの認証リクエストを処理する必要があります。新しいポリシーストアからやり直すことも、既存のポリシーストアを更新することもできます。

既存のポリシーストアを更新するには、関数 を見つけます。自動的に生成された関数のロジックを調べ、新しいアクション、属性、またはコンテキストを処理するように更新します。次に、スキーマを編集して新しいアクションと属性を含めます。