Criação de armazenamentos de políticas do Verified Permissions - Amazon Verified Permissions

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de armazenamentos de políticas do Verified Permissions

Você pode criar um armazenamento de políticas usando um dos seguintes métodos:

  • Siga uma configuração guiada — Você definirá um tipo de recurso com ações válidas e um tipo principal antes de criar sua primeira política.

  • Configure com o API Gateway e uma fonte de identidade — Defina suas entidades principais com usuários que fazem login com um provedor de identidade (IdP) e suas ações e entidades de recursos a partir de uma API do Amazon API Gateway. Recomendamos essa opção se você quiser que seu aplicativo autorize solicitações de API com a associação de grupos de usuários.

  • Comece com um exemplo de armazenamento de políticas — Escolha um exemplo predefinido de armazenamento de políticas de projeto. É recomendável o uso desta opção se você estiver em busca de informações sobre o Verified Permissions e quiser ver e testar exemplos de políticas.

  • Crie um repositório de políticas vazio — Você mesmo definirá o esquema e todas as políticas de acesso. É recomendável o uso desta opção se você já estiver familiarizado com a configuração de um armazenamento de políticas.

Guided setup
Para criar um armazenamento de políticas por meio do método de Configuração guiada

O assistente de configuração guiada conduz você pelo processo de criação da primeira iteração do seu armazenamento de políticas. Você criará um esquema para seu primeiro tipo de recurso, descreverá as ações aplicáveis a esse tipo de recurso e o tipo de entidade principal para o qual você está concedendo permissões. Em seguida, você criará sua primeira política. Após concluir esse assistente, você poderá adicionar conteúdo ao seu armazenamento de políticas, estender o esquema para descrever outros tipos de recursos e entidades principais, além de criar políticas e modelos adicionais.

  1. No console Permissões verificadas, selecione Criar novo repositório de políticas.

  2. Na seção Opções iniciais, escolha Configuração guiada.

  3. Insira uma descrição do repositório de políticas. Esse texto pode ser o que for adequado à sua organização como uma referência amigável à função do repositório de políticas atual, por exemplo, atualizações meteorológicas.

  4. Na seção Detalhes, digite um Namespace para seu esquema.

  5. Escolha Próximo.

  6. Na janela Tipo de recurso, digite um nome para seu tipo de recurso.

  7. (Opcional) Escolha Adicionar um atributo para adicionar atributos de recursos. Digite o Nome do atributo e escolha um Tipo de atributo para cada atributo do recurso. Especifique se cada atributo será Obrigatório. O Verified Permissions usa os valores de atributo especificados ao verificar as políticas com base no esquema. Para remover um atributo adicionado para o tipo de recurso, escolha Remover ao lado do atributo.

  8. No campo Ações, digite as ações a serem autorizadas para o tipo de recurso especificado. Para adicionar ações extras para o tipo de recurso, escolha Adicionar uma ação. Para remover uma ação adicionada para o tipo de recurso, escolha Remover ao lado da ação.

  9. No campo Nome do tipo de entidade principal, digite o nome para um tipo de entidade principal que usará as ações especificadas para seu tipo de recurso.

  10. Escolha Próximo.

  11. Na janela Tipo de entidade principal, escolha a origem de identidade para seu tipo de entidade principal.

    • Escolha Personalizado se o ID e os atributos da entidade principal forem fornecidos diretamente pelo Verified Permissions. Escolha Adicionar um atributo para adicionar atributos de entidade principal. Digite o Nome do atributo e escolha um Tipo de atributo para cada atributo da entidade principal. O Verified Permissions usa os valores de atributo especificados ao verificar as políticas com base no esquema. Para remover um atributo adicionado para o tipo de entidade principal, escolha Remover ao lado do atributo.

    • Escolha Grupo de usuários do Cognito se o ID e os atributos da entidade principal forem fornecidos a partir de um ID ou token de acesso gerado pelo Amazon Cognito. Escolha Conectar grupo de usuários. Selecione a Região da AWS e digite o ID do grupo de usuários do Amazon Cognito com o qual você se conectará. Selecione Conectar. Para obter mais informações, consulte Autorização com o Amazon Verified Permissions no Guia do desenvolvedor do Amazon Cognito.

  12. Escolha Próximo.

  13. Na seção Detalhes da política, digite uma Descrição da política para sua primeira política Cedar (essa descrição é opcional).

  14. No campo Escopo das entidades principais, escolha as entidades principais que receberão permissões da política.

    • Escolha Entidade principal específica para aplicar a política a uma entidade principal específica. Escolha a entidade principal no campo Entidade principal que terá permissão para executar ações e digite um identificador de entidade para a entidade principal.

    • Escolha Todas as entidades principais para aplicar a política a todas as entidades principais do armazenamento de políticas.

  15. No campo Escopo dos recursos, escolha em quais recursos as entidades principais especificadas serão autorizadas a atuar.

    • Escolha Recurso específico para aplicar a política a um recurso específico. Escolha o recurso no campo Recurso ao qual esta política deve ser aplicada e digite um identificador de entidade para o recurso.

    • Escolha Todos os recursos para aplicar a política a todos os recursos do armazenamento de políticas.

  16. No campo Escopo dos recursos, escolha em quais recursos as entidades principais especificadas serão autorizadas a atuar.

    • Escolha Conjunto específico de ações para aplicar a política a ações específicas. Marque as caixas de seleção ao lado das ações no campo Ações às quais esta política deve ser aplicada.

    • Escolha Todas as ações para aplicar a política a todas as ações do armazenamento de políticas.

  17. Revise a política na seção Visualização da política. Escolha Criar armazenamento de políticas.

Set up with API Gateway and an identity source
Para criar um repositório de políticas usando o método Configurar com o API Gateway e um método de configuração de fonte de identidade

A opção API Gateway protege as APIs com políticas de permissões verificadas, projetadas para tomar decisões de autorização dos grupos ou funções dos usuários. Essa opção cria um repositório de políticas para testar a autorização com grupos de origem de identidade e uma API com um autorizador Lambda.

Os usuários e seus grupos em um IdP se tornam seus principais (tokens de ID) ou seu contexto (tokens de acesso). Os métodos e caminhos em uma API do API Gateway se tornam as ações que suas políticas autorizam. Seu aplicativo se torna o recurso. Como resultado desse fluxo de trabalho, o Verified Permissions cria um repositório de políticas, uma função Lambda e um autorizador de API Lambda. Você deve atribuir o autorizador Lambda à sua API depois de concluir esse fluxo de trabalho.

  1. No console Permissões verificadas, selecione Criar novo repositório de políticas.

  2. Na seção Opções iniciais, escolha Configurar com o API Gateway e uma fonte de identidade e selecione Avançar.

  3. Na etapa Importar recursos e ações, em API, escolha uma API que funcionará como modelo para os recursos e ações do seu repositório de políticas.

    1. Escolha um estágio de implantação entre os estágios configurados em sua API e selecione Importar API. Para obter mais informações sobre os estágios da API, consulte Como configurar um estágio para uma API REST no Guia do desenvolvedor do Amazon API Gateway.

    2. Visualize seu mapa de recursos e ações importados.

    3. Para atualizar recursos ou ações, modifique seus caminhos ou métodos de API e selecione Importar API.

    4. Quando estiver satisfeito com suas escolhas, escolha Avançar.

  4. Em Fonte de identidade, escolha um tipo de provedor de identidade. Você pode escolher um grupo de usuários do Amazon Cognito ou um tipo de IdP do OpenID Connect (OIDC).

  5. Se você escolheu o Amazon Cognito:

    1. Escolha um grupo de usuários no mesmo Região da AWS e Conta da AWS no seu repositório de políticas.

    2. Escolha o tipo de token a ser passado para a API que você deseja enviar para autorização. Qualquer um dos tipos de token contém grupos de usuários, a base desse modelo de autorização vinculado à API.

    3. Em Validação do cliente do aplicativo, você pode limitar o escopo de um armazenamento de políticas a um subconjunto dos clientes do aplicativo Amazon Cognito em um grupo de usuários multilocatários. Para exigir que o usuário se autentique com um ou mais clientes de aplicativos especificados em seu grupo de usuários, selecione Aceitar somente tokens com IDs de cliente de aplicativo esperados. Para aceitar qualquer usuário que se autentique com o grupo de usuários, selecione Não validar IDs de cliente do aplicativo.

    4. Escolha Próximo.

  6. Se você escolheu o provedor OIDC:

    1. Em URL do emissor, insira a URL do seu emissor do OIDC. Esse é o endpoint do serviço que fornece o servidor de autorização, as chaves de assinatura e outras informações sobre seu provedor, por exemplohttps://auth.example.com. Seu URL de emissor deve hospedar um documento de descoberta do OIDC em. /.well-known/openid-configuration

    2. Em Tipo de token, escolha o tipo de OIDC JWT que você deseja que seu aplicativo envie para autorização. Para ter mais informações, consulte Trabalhando com fontes de identidade em esquemas e políticas.

    3. Em Declarações de token, escolha como você deseja configurar os atributos do usuário em seu repositório de políticas. Esses atributos definem as declarações que suas políticas podem referenciar.

      1. Escolha uma fonte de reclamação.

        1. Para fornecer um token de amostra, escolha Extrair da carga útil do JWT e cole a carga útil de um JWT do tipo de token escolhido. Os JWTs contêm um cabeçalho, uma carga útil e uma assinatura. Seu JWT de amostra deve ser decodificado e somente para carga útil. Para analisar a carga, selecione Extrair.

        2. Para inserir seu próprio conjunto de atributos, escolha Inserir declarações manualmente.

      2. Insira ou confirme cada nome de solicitação de token e tipo de valor de declaração que você deseja adicionar aos atributos do usuário principal ou do contexto de ação em seu esquema.

    4. Em Declarações de usuário e grupo, escolha uma reivindicação de usuário para a fonte de identidade. Normalmentesub, essa é uma afirmação do seu ID ou token de acesso que contém o identificador exclusivo da entidade a ser avaliada. As identidades do IdP OIDC conectado serão mapeadas para o tipo de usuário em seu repositório de políticas.

    5. Em Declarações de usuário e grupo, escolha uma afirmação de grupo para a fonte de identidade. Normalmentegroups, essa é uma reivindicação do seu ID ou token de acesso que contém uma lista dos grupos do usuário. Seu repositório de políticas autorizará solicitações com base na associação ao grupo.

    6. Em Validação de público ou IDs de cliente, insira os IDs de cliente ou URLs de público que você deseja que seu repositório de políticas aceite nas solicitações de autorização, se houver. Para tokens de acesso, insira um valor de reivindicação de público, comohttps://myapp.example.com. Para tokens de ID, insira um ID de cliente como1example23456789.

    7. Escolha Próximo.

  7. Se você escolheu o Amazon Cognito, o Verified Permissions consulta seu grupo de usuários em busca de grupos. Para provedores do OIDC, insira os nomes dos grupos manualmente. A etapa Atribuir ações aos grupos cria políticas para seu repositório de políticas que permitem que os membros do grupo realizem ações.

    1. Escolha ou adicione os grupos que você deseja incluir em suas políticas.

    2. Atribua ações a cada um dos grupos que você selecionou.

    3. Escolha Próximo.

  8. Em Implantar integração de aplicativos, revise as etapas que as Permissões Verificadas seguirão para criar seu repositório de políticas e o autorizador Lambda.

  9. Quando você estiver pronto para criar os novos recursos, escolha Criar e implantar.

  10. Mantenha a etapa de status do repositório de políticas aberta em seu navegador para monitorar o progresso da criação de recursos por meio de permissões verificadas.

  11. Depois de algum tempo, normalmente cerca de uma hora, ou quando a etapa do autorizador Deploy Lambda mostrar Sucesso, configure seu autorizador.

    As permissões verificadas terão criado uma função Lambda e um autorizador Lambda em sua API. Escolha Abrir API para navegar até sua API.

    Para saber como atribuir um autorizador Lambda, consulte Usar autorizadores Lambda do API Gateway no Guia do desenvolvedor do Amazon API Gateway.

    1. Navegue até Autorizadores da sua API e anote o nome do autorizador criado pelas Permissões Verificadas.

    2. Navegue até Recursos e selecione um método de nível superior na sua API.

    3. Selecione Editar em Configurações de solicitação de método.

    4. Defina o Autorizador como o nome do autorizador que você anotou anteriormente.

    5. Expanda os cabeçalhos da solicitação HTTP, insira um Nome ou AUTHORIZATION e selecione Obrigatório.

    6. Implante o estágio da API.

    7. Salve suas alterações.

  12. Teste seu autorizador com um token de grupo de usuários do tipo Token que você selecionou na etapa Escolher fonte de identidade. Para obter mais informações sobre o login do grupo de usuários e a recuperação de tokens, consulte Fluxo de autenticação do grupo de usuários no Guia do desenvolvedor do Amazon Cognito.

  13. Teste a autenticação novamente com um token do grupo de usuários no AUTHORIZATION cabeçalho de uma solicitação para sua API.

  14. Examine seu novo repositório de políticas. Adicione e refine políticas.

Sample policy store
Para criar um armazenamento de políticas usando o método de configuração Exemplo de armazenamento de políticas

  1. Na seção Opções iniciais, escolha Exemplo de armazenamento de políticas.

  2. Na seção Projeto de exemplo, escolha o tipo de exemplo de aplicação do Verified Permissions a ser usado.

    • PhotoFlashé um exemplo de aplicativo web voltado para o cliente que permite aos usuários compartilhar fotos e álbuns individuais com amigos. Os usuários podem definir permissões refinadas sobre quem tem permissão para visualizar, comentar e compartilhar novamente suas fotos. Os proprietários da conta também podem criar grupos de amigos e organizar fotos em álbuns.

    • DigitalPetO Store é um exemplo de aplicativo em que qualquer pessoa pode se registrar e se tornar um cliente. Os clientes podem adicionar animais de estimação à venda, pesquisar animais de estimação e fazer pedidos. Os clientes que adicionaram um animal de estimação são registrados como donos do animal. Os donos de animais de estimação podem atualizar os detalhes do animal, fazer upload de uma imagem do animal ou excluir o anúncio do animal. Os clientes que fizeram um pedido são registrados como proprietários do pedido. Os proprietários do pedido podem obter detalhes sobre o pedido ou cancelá-lo. Os gerentes de lojas de animais de estimação têm acesso administrativo.

      nota

      O DigitalPetrepositório de políticas de amostra da Store não inclui modelos de política. Os repositórios TinyTodode políticas PhotoFlashe exemplos incluem modelos de políticas.

    • TinyTodoé um aplicativo de exemplo que permite aos usuários criar tarefas e listas de tarefas. Os proprietários de listas podem gerenciar e compartilhar suas listas e especificar quem pode visualizar ou editar as listas.

  3. Um namespace é gerado automaticamente para o esquema do exemplo de armazenamento de políticas com base no projeto de exemplo que você escolheu.

  4. Escolha Criar armazenamento de políticas.

    Seu armazenamento de políticas é criado com políticas e um esquema para o exemplo de armazenamento de políticas que você escolheu. Para obter mais informações sobre políticas vinculadas a modelos que você pode criar para os exemplos de armazenamentos de políticas, consulte. Exemplo de políticas vinculadas a modelos para exemplos de armazenamentos de políticas do Verified Permissions

Empty policy store
Para criar um armazenamento de políticas usando o método de configuração Armazenamento de políticas vazio

  1. Na seção Opções iniciais, escolha Armazenamento de políticas vazio.

  2. Escolha Criar armazenamento de políticas.

Um armazenamento de políticas vazio é criado sem um esquema, o que significa que as políticas não são validadas. Para obter mais informações sobre a atualização do esquema do armazenamento de políticas, consulte Esquema do armazenamento de políticas do Amazon Verified Permissions.

Para obter mais informações sobre a criação de políticas para seu armazenamento de políticas, consulte Criação de políticas estáticas do Amazon Verified Permissions e Criação de políticas vinculadas a modelos.

AWS CLI
Para criar um armazenamento de políticas vazio usando a AWS CLI.

Você pode criar um armazenamento de políticas usando a operação create-policy-store.

nota

Um repositório de políticas que você cria usando o AWS CLI está vazio.

$ aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"
{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}
AWS SDKs

Você pode criar um armazenamento de políticas usando a API CreatePolicyStore. Para obter mais informações, consulte CreatePolicyArmazenar no Guia de referência da API de permissões verificadas da Amazon.