Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung bei API-verknüpften Policy-Stores
Verwenden Sie die Informationen hier, um häufig auftretende Probleme beim Erstellen von mit der Amazon Verified Permissions API verknüpften Policy Stores zu diagnostizieren und zu beheben.
**Topics**
+ [Ich habe meine Richtlinie aktualisiert, aber die Autorisierungsentscheidung hat sich nicht geändert](#policy-stores-api-userpool-considerations-troubleshooting-update-didnt-change)
+ [Ich habe den Lambda-Autorisierer an meine API angehängt, aber er generiert keine Autorisierungsanfragen](#policy-stores-api-userpool-considerations-troubleshooting-attached-not-deployed)
+ [Ich habe eine unerwartete Autorisierungsentscheidung erhalten und möchte die Autorisierungslogik überprüfen](#policy-stores-api-userpool-considerations-troubleshooting-review-code)
+ [Ich möchte Logs von meinem Lambda-Authorizer finden](#policy-stores-api-userpool-considerations-troubleshooting-find-logs)
+ [Mein Lambda-Autorisierer existiert nicht](#policy-stores-api-userpool-considerations-troubleshooting-didnt-deploy)
+ [Meine API befindet sich in einer privaten VPC und kann den Authorizer nicht aufrufen](#policy-stores-api-userpool-considerations-troubleshooting-in-a-vpc)
+ [Ich möchte zusätzliche Benutzerattribute in meinem Autorisierungsmodell verarbeiten](#policy-stores-api-userpool-considerations-troubleshooting-fgac)
+ [Ich möchte neue Aktionen, Aktionskontext-Attribute oder Ressourcenattribute hinzufügen](#policy-stores-api-userpool-considerations-troubleshooting-action-resource-attributes)
## Ich habe meine Richtlinie aktualisiert, aber die Autorisierungsentscheidung hat sich nicht geändert
Standardmäßig konfiguriert Verified Permissions den Lambda-Autorisierer so, dass Autorisierungsentscheidungen 120 Sekunden lang zwischengespeichert werden. Versuchen Sie es nach zwei Minuten erneut, oder deaktivieren Sie den Cache auf Ihrem Authorizer. Weitere Informationen finden Sie unter [Aktivieren von API-Caching zur Verbesserung der Reaktionsfähigkeit](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html) im *Amazon API Gateway Developer Guide*.
## Ich habe den Lambda-Autorisierer an meine API angehängt, aber er generiert keine Autorisierungsanfragen
Um mit der Bearbeitung von Anfragen zu beginnen, müssen Sie die API-Stufe bereitstellen, an die Sie Ihren Autorisierer angehängt haben. Weitere Informationen finden Sie unter [Bereitstellen einer REST-API](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-deploy-api.html) im *Amazon API Gateway Developer Guide*.
## Ich habe eine unerwartete Autorisierungsentscheidung erhalten und möchte die Autorisierungslogik überprüfen
Der API-verknüpfte Policy Store-Prozess erstellt eine Lambda-Funktion für Ihren Autorisierer. Verified Permissions integriert die Logik Ihrer Autorisierungsentscheidungen automatisch in die Autorisierungsfunktion. Nachdem Sie Ihren Richtlinienspeicher erstellt haben, können Sie zurückgehen, um die Logik in der Funktion zu überprüfen und zu aktualisieren.
Um Ihre Lambda-Funktion von der AWS CloudFormation Konsole aus zu finden, klicken Sie auf der **Übersichtsseite** Ihres neuen Policy-Stores auf die Schaltfläche **Bereitstellung überprüfen**.
Sie können Ihre Funktion auch in der AWS Lambda Konsole finden. Navigieren Sie zur Konsole in Ihrem Richtlinienspeicher und suchen Sie nach einem Funktionsnamen mit dem Präfix`AVPAuthorizerLambda`. AWS-Region Wenn Sie mehr als einen API-verknüpften Richtlinienspeicher erstellt haben, verwenden Sie die Uhrzeit der **letzten Änderung** Ihrer Funktionen, um sie mit der Erstellung des Richtlinienspeichers zu korrelieren.
## Ich möchte Logs von meinem Lambda-Authorizer finden
Lambda-Funktionen sammeln Metriken und protokollieren ihre Aufrufergebnisse in Amazon. CloudWatch Um Ihre Logs zu überprüfen, [suchen Sie Ihre Funktion](#policy-stores-api-userpool-considerations-troubleshooting-review-code) in der Lambda-Konsole und wählen Sie die Registerkarte **Überwachen**. Wählen Sie ** CloudWatch Protokolle anzeigen** aus und überprüfen Sie die Einträge in der Protokollgruppe.
Weitere Informationen zu Lambda-Funktionsprotokollen finden Sie unter [Using Amazon CloudWatch Logs with AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html) im *AWS Lambda Developer Guide*.
## Mein Lambda-Autorisierer existiert nicht
Nachdem Sie die Einrichtung eines API-verknüpften Richtlinienspeichers abgeschlossen haben, müssen Sie den Lambda-Authorizer an Ihre API anhängen. Wenn Sie Ihren Autorisierer nicht in der API Gateway Konsole finden können, sind die zusätzlichen Ressourcen für Ihren Richtlinienspeicher möglicherweise ausgefallen oder noch nicht bereitgestellt. API-verknüpfte Richtlinienspeicher stellen diese Ressourcen in einem Stapel bereit. CloudFormation
Unter Verifizierte Berechtigungen wird am Ende des Erstellungsvorgangs ein Link mit der Bezeichnung **Bereitstellung prüfen** angezeigt. Wenn Sie diesen Bildschirm bereits verlassen haben, rufen Sie die CloudFormation Konsole auf und suchen Sie in den letzten Stacks nach einem Namen, dem das Präfix vorangestellt ist. `AVPAuthorizer-` CloudFormation bietet wertvolle Informationen zur Fehlerbehebung in der Ausgabe einer Stack-Bereitstellung.
Hilfe zur Fehlerbehebung bei CloudFormation Stacks finden Sie unter [Problembehandlung CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) im *AWS CloudFormation Benutzerhandbuch*.
## Meine API befindet sich in einer privaten VPC und kann den Authorizer nicht aufrufen
Verified Permissions unterstützt keinen Zugriff auf Lambda-Autorisierer über VPC-Endpunkte. Sie müssen einen Netzwerkpfad zwischen Ihrer API und der Lambda-Funktion öffnen, die als Autorisierer dient.
## Ich möchte zusätzliche Benutzerattribute in meinem Autorisierungsmodell verarbeiten
Der API-verknüpfte Policy-Store-Prozess leitet Richtlinien für verifizierte Berechtigungen aus dem Anspruch der Gruppe in Benutzer-Tokens ab. Um Ihr Autorisierungsmodell zu aktualisieren und zusätzliche Benutzerattribute zu berücksichtigen, integrieren Sie diese Attribute in Ihre Richtlinien.
Sie können viele Ansprüche in ID- und Zugriffstoken aus Amazon Cognito Cognito-Benutzerpools den Richtlinienerklärungen für verifizierte Berechtigungen zuordnen. Beispielsweise haben die meisten Benutzer einen `email` Anspruch in ihrem ID-Token. Weitere Informationen zum Hinzufügen von Ansprüchen aus Ihrer Identitätsquelle zu Richtlinien finden Sie unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token zum](oidc-map-token-to-schema.md) Schema.
## Ich möchte neue Aktionen, Aktionskontext-Attribute oder Ressourcenattribute hinzufügen
Ein API-verknüpfter Richtlinienspeicher und der Lambda-Autorisierer, den er erstellt, sind eine Ressource. point-in-time Sie geben den Status Ihrer API zum Zeitpunkt der Erstellung wieder. Das Policy Store-Schema weist Aktionen weder Kontext-Attribute noch Attribute oder übergeordnete Elemente der `Application` Standardressource zu.
Wenn Sie Ihrer API Aktionen — Pfade und Methoden — hinzufügen, müssen Sie Ihren Richtlinienspeicher aktualisieren, damit er über die neuen Aktionen informiert ist. Sie müssen auch Ihren Lambda-Autorisierer aktualisieren, um Autorisierungsanfragen für die neuen Aktionen zu verarbeiten. Sie können [mit einem neuen Richtlinienspeicher erneut beginnen](policy-stores-create.md) oder Ihren vorhandenen Richtlinienspeicher aktualisieren.
[Suchen Sie nach Ihrer Funktion, um Ihren](#policy-stores-api-userpool-considerations-troubleshooting-review-code) vorhandenen Richtlinienspeicher zu aktualisieren. Untersuchen Sie die Logik in der automatisch generierten Funktion und aktualisieren Sie sie, um die neuen Aktionen, Attribute oder den Kontext zu verarbeiten. [Bearbeiten Sie dann Ihr Schema](schema-edit.md) so, dass es die neuen Aktionen und Attribute enthält.