API 연결 정책 스토어 문제 해결 - Amazon Verified Permissions

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

API 연결 정책 스토어 문제 해결

여기의 정보를 사용하면 Amazon Verified Permissions API 연결 정책 스토어를 구축할 때 흔히 발생하는 문제를 진단하고 해결하는 데 도움이 됩니다.

정책을 업데이트했지만 승인 결정은 바뀌지 않았습니다.

기본적으로 검증된 권한은 권한 부여 결정을 120초 동안 캐시하도록 Lambda 권한 부여자를 구성합니다. 2분 후에 다시 시도하거나 권한 부여자의 캐시를 비활성화하십시오. 자세한 내용은 Amazon API Gateway 개발자 안내서의 응답성 향상을 위한 API 캐싱 활성화를 참조하십시오.

Lambda 권한 부여자를 API에 연결했지만 권한 부여 요청이 생성되지 않습니다.

요청 처리를 시작하려면 권한 부여자를 연결한 API 단계를 배포해야 합니다. 자세한 내용은 Amazon API Gateway 개발자 안내서의 REST API 배포를 참조하십시오.

예상치 못한 권한 부여 결정을 받았는데 권한 부여 로직을 검토해 보고 싶습니다.

API 연결 정책 스토어 프로세스는 권한 부여자를 위한 Lambda 함수를 생성합니다. 검증된 권한은 권한 부여 결정의 로직을 권한 부여 함수에 자동으로 빌드합니다. 정책 저장소를 생성한 후 다시 돌아가서 함수의 로직을 검토하고 업데이트할 수 있습니다.

콘솔에서 AWS CloudFormation Lambda 함수를 찾으려면 새 정책 스토어의 개요 페이지에서 배포 확인 버튼을 선택하십시오.

콘솔에서 함수를 찾을 수도 있습니다. AWS Lambda 정책 AWS 리전 저장소의 콘솔로 이동하여 접두어가 인 함수 이름을 검색합니다. AVPAuthorizerLambda API 연결 정책 저장소를 두 개 이상 생성한 경우 함수의 마지막 수정 시간을 사용하여 정책 저장소 생성과 상호 연관시키십시오.

Lambda 권한 부여자로부터 로그를 찾고 싶습니다.

Lambda 함수는 지표를 수집하고 Amazon에 호출 결과를 기록합니다. CloudWatch 로그를 검토하려면 Lambda 콘솔에서 함수를 찾아 Monitor 탭을 선택합니다. CloudWatch 로그 보기를 선택하고 로그 그룹의 항목을 검토하십시오.

Lambda 함수 로그에 대한 자세한 내용은 개발자 안내서의 CloudWatch Amazon Logs AWS Lambda사용을 참조하십시오.AWS Lambda

내 Lambda 권한 부여자가 존재하지 않습니다.

API 연결 정책 스토어의 설정을 완료한 후에는 Lambda 권한 부여자를 API에 연결해야 합니다. API Gateway 콘솔에서 권한 부여자를 찾을 수 없는 경우 정책 저장소의 추가 리소스가 실패했거나 아직 배포되지 않았을 수 있습니다. API로 연결된 정책 저장소는 이러한 리소스를 스택에 배포합니다. AWS CloudFormation

검증된 권한은 생성 프로세스 종료 시 배포 확인 레이블이 있는 링크를 표시합니다. 이미 이 화면에서 벗어났다면 CloudFormation 콘솔로 가서 최근 스택에서 접두사가 붙은 이름을 검색해 보세요. AVPAuthorizer-<policy store ID> CloudFormation 스택 배포 결과에서 중요한 문제 해결 정보를 제공합니다.

CloudFormation 스택 문제 해결에 도움이 필요하면 AWS CloudFormation 사용 설명서의 문제 해결을 CloudFormation 참조하십시오.

내 API는 프라이빗 VPC에 있으며 권한 부여자를 호출할 수 없습니다.

검증된 권한은 VPC 엔드포인트를 통한 Lambda 권한 부여자에 대한 액세스를 지원하지 않습니다. API와 권한 부여자 역할을 하는 Lambda 함수 사이에 네트워크 경로를 열어야 합니다.

권한 부여 모델에서 추가 사용자 속성을 처리하고 싶습니다.

API 연결 정책 저장소 프로세스는 사용자 토큰의 그룹 클레임에서 검증된 권한 정책을 도출합니다. 추가 사용자 속성을 고려하도록 권한 부여 모델을 업데이트하려면 해당 속성을 정책에 통합하세요.

Amazon Cognito 사용자 풀의 ID 및 액세스 토큰에 있는 많은 클레임을 검증된 권한 정책 설명에 매핑할 수 있습니다. 예를 들어, 대부분의 사용자는 ID 토큰에 email 클레임을 가지고 있습니다. ID 소스의 클레임을 정책에 추가하는 방법에 대한 자세한 내용은 을 참조하십시오스키마 및 정책에서 ID 소스 사용.

새 작업, 작업 컨텍스트 속성 또는 리소스 속성을 추가하고 싶습니다.

API 연결 정책 스토어와 이 저장소에서 생성하는 Lambda 권한 부여자는 리소스입니다. point-in-time 이는 생성 당시의 API 상태를 반영합니다. 정책 저장소 스키마는 작업에 컨텍스트 속성을 할당하거나 기본 Application 리소스에 속성이나 상위를 할당하지 않습니다.

API에 작업 (경로 및 메서드) 을 추가할 때는 새 작업을 인식하도록 정책 저장소를 업데이트해야 합니다. 또한 Lambda 권한 부여자를 업데이트하여 새 작업에 대한 권한 부여 요청을 처리해야 합니다. 새 정책 저장소로 다시 시작하거나 기존 정책 저장소를 업데이트할 수 있습니다.

기존 정책 저장소를 업데이트하려면 함수를 찾으세요. 자동으로 생성된 함수의 로직을 검사하고 새 작업, 속성 또는 컨텍스트를 처리하도록 업데이트하십시오. 그런 다음 새 작업과 속성을 포함하도록 스키마를 편집합니다.