Solução de problemas de repositórios de políticas vinculados à API

Use as informações aqui para ajudá-lo a diagnosticar e corrigir problemas comuns ao criar repositórios de políticas vinculados à API Amazon Verified Permissions.

Eu atualizei minha política, mas a decisão de autorização não mudou

Por padrão, o Verified Permissions configura o autorizador Lambda para armazenar em cache as decisões de autorização por 120 segundos. Tente novamente após dois minutos ou desative o cache no seu autorizador. Para obter mais informações, consulte Como ativar o cache da API para melhorar a capacidade de resposta no Guia do desenvolvedor do Amazon API Gateway.

Anexei o autorizador Lambda à minha API, mas ele não está gerando solicitações de autorização

Para começar a processar as solicitações, você deve implantar o estágio da API ao qual você anexou seu autorizador. Para obter mais informações, consulte Implantação de uma API REST no Guia do desenvolvedor do Amazon API Gateway.

Recebi uma decisão de autorização inesperada e quero revisar a lógica de autorização

O processo de armazenamento de políticas vinculado à API cria uma função Lambda para seu autorizador. As permissões verificadas incorporam automaticamente a lógica de suas decisões de autorização na função do autorizador. Você pode voltar depois de criar seu repositório de políticas para revisar e atualizar a lógica na função.

Para localizar sua função Lambda no AWS CloudFormation console, escolha o botão Verificar implantação na página Visão geral do seu novo repositório de políticas.

Você também pode localizar sua função no AWS Lambda console. Navegue até o console no seu repositório Região da AWS de políticas e pesquise um nome de função com o prefixo deAVPAuthorizerLambda. Se você criou mais de um repositório de políticas vinculado à API, use o horário da última modificação de suas funções para correlacioná-las com a criação do repositório de políticas.

Quero encontrar registros do meu autorizador Lambda

As funções Lambda coletam métricas e registram seus resultados de invocação na Amazon. CloudWatch Para revisar seus registros, localize sua função no console Lambda e escolha a guia Monitor. Selecione Exibir CloudWatch registros e revise as entradas no grupo de registros.

Para obter mais informações sobre os registros de funções do Lambda, consulte Como usar o Amazon CloudWatch Logs com AWS Lambda o Guia do AWS Lambda Desenvolvedor.

Meu autorizador Lambda não existe

Depois de concluir a configuração de um repositório de políticas vinculado à API, você deve anexar o autorizador Lambda à sua API. Se você não conseguir localizar seu autorizador no console do API Gateway, os recursos adicionais do seu repositório de políticas podem ter falhado ou ainda não terem sido implantados. Os repositórios de políticas vinculados à API implantam esses recursos em uma AWS CloudFormation pilha.

Permissões verificadas exibe um link com o rótulo Verificar implantação no final do processo de criação. Se você já saiu dessa tela, acesse o CloudFormation console e pesquise nas pilhas recentes um nome com o prefixo. AVPAuthorizer-<policy store ID> CloudFormation fornece informações valiosas sobre solução de problemas na saída de uma implantação de pilha.

Para obter ajuda na solução de problemas de CloudFormation pilhas, consulte Solução de problemas CloudFormation no Guia AWS CloudFormation do usuário.

Minha API está em uma VPC privada e não consigo invocar o autorizador

As permissões verificadas não oferecem suporte ao acesso aos autorizadores Lambda por meio de VPC endpoints. Você deve abrir um caminho de rede entre sua API e a função Lambda que serve como seu autorizador.

Quero processar atributos de usuário adicionais no meu modelo de autorização

O processo de armazenamento de políticas vinculado à API deriva as políticas de Permissões Verificadas da reivindicação dos grupos nos tokens dos usuários. Para atualizar seu modelo de autorização para considerar atributos adicionais do usuário, integre esses atributos às suas políticas.

Você pode mapear muitas reivindicações em tokens de ID e acesso dos grupos de usuários do Amazon Cognito para declarações de políticas de permissões verificadas. Por exemplo, a maioria dos usuários tem uma email reivindicação em seu token de ID. Para obter mais informações sobre como adicionar declarações de sua fonte de identidade às políticas, consulteTrabalhando com fontes de identidade em esquemas e políticas.

Quero adicionar novas ações, atributos de contexto de ação ou atributos de recursos

Um repositório de políticas vinculado à API e o autorizador Lambda que ele cria são um recurso. point-in-time Eles refletem o estado da sua API no momento da criação. O esquema do repositório de políticas não atribui nenhum atributo de contexto às ações, nem nenhum atributo ou pai ao Application recurso padrão.

Ao adicionar ações — caminhos e métodos — à sua API, você deve atualizar seu repositório de políticas para estar ciente das novas ações. Você também deve atualizar seu autorizador Lambda para processar solicitações de autorização para as novas ações. Você pode começar de novo com um novo repositório de políticas ou atualizar seu repositório de políticas existente.

Para atualizar seu repositório de políticas existente, localize sua função. Examine a lógica na função gerada automaticamente e atualize-a para processar as novas ações, atributos ou contexto. Em seguida, edite seu esquema para incluir as novas ações e atributos.