J'ai mis à jour ma politique, mais la décision d'autorisation n'a pas changé J'ai joint l'autorisateur Lambda à mon API mais il ne génère pas de demandes d'autorisation J'ai reçu une décision d'autorisation inattendue et je souhaite revoir la logique d'autorisation Je souhaite trouver les journaux de mon autorisateur Lambda Mon autorisateur Lambda n'existe pas Mon API se trouve dans un VPC privé et ne peut pas invoquer l'autorisateur Je souhaite traiter des attributs utilisateur supplémentaires dans mon modèle d'autorisation Je souhaite ajouter de nouvelles actions, de nouveaux attributs de contexte d'action ou de nouvelles ressources

Résolution des problèmes liés aux magasins de politiques liés à l'API

Utilisez les informations fournies ici pour vous aider à diagnostiquer et à résoudre les problèmes courants lorsque vous créez des boutiques de politiques liées à l'API Amazon Verified Permissions.

Rubriques

J'ai mis à jour ma politique, mais la décision d'autorisation n'a pas changé
J'ai joint l'autorisateur Lambda à mon API mais il ne génère pas de demandes d'autorisation
J'ai reçu une décision d'autorisation inattendue et je souhaite revoir la logique d'autorisation
Je souhaite trouver les journaux de mon autorisateur Lambda
Mon autorisateur Lambda n'existe pas
Mon API se trouve dans un VPC privé et ne peut pas invoquer l'autorisateur
Je souhaite traiter des attributs utilisateur supplémentaires dans mon modèle d'autorisation
Je souhaite ajouter de nouvelles actions, de nouveaux attributs de contexte d'action ou de nouvelles ressources

J'ai mis à jour ma politique, mais la décision d'autorisation n'a pas changé

Par défaut, Verified Permissions configure l'autorisateur Lambda pour qu'il mette en cache les décisions d'autorisation pendant 120 secondes. Réessayez au bout de deux minutes ou désactivez le cache sur votre système d'autorisation. Pour plus d'informations, consultez la section Activer la mise en cache des API pour améliorer la réactivité dans le manuel Amazon API Gateway Developer Guide.

J'ai joint l'autorisateur Lambda à mon API mais il ne génère pas de demandes d'autorisation

Pour commencer à traiter les demandes, vous devez déployer le stage d'API auquel vous avez associé votre autorisateur. Pour plus d'informations, consultez la section Déploiement d'une API REST dans le manuel Amazon API Gateway Developer Guide.

J'ai reçu une décision d'autorisation inattendue et je souhaite revoir la logique d'autorisation

Le processus de magasin de politiques lié à l'API crée une fonction Lambda pour votre autorisateur. Verified Permissions intègre automatiquement la logique de vos décisions d'autorisation dans la fonction d'autorisation. Après avoir créé votre magasin de règles, vous pouvez revenir en arrière pour revoir et mettre à jour la logique de la fonction.

Pour localiser votre fonction Lambda depuis la AWS CloudFormation console, cliquez sur le bouton Vérifier le déploiement sur la page de présentation de votre nouveau magasin de politiques.

Vous pouvez également localiser votre fonction dans la AWS Lambda console. Accédez à la console dans votre magasin Région AWS de politiques et recherchez le nom d'une fonction avec le préfixe deAVPAuthorizerLambda. Si vous avez créé plusieurs magasins de politiques liés à l'API, utilisez l'heure de dernière modification de vos fonctions pour les corréler avec la création du magasin de politiques.

Je souhaite trouver les journaux de mon autorisateur Lambda

Les fonctions Lambda collectent des métriques et enregistrent les résultats de leurs invocations sur Amazon. CloudWatch Pour consulter vos journaux, localisez votre fonction dans la console Lambda et choisissez l'onglet Monitor. Sélectionnez Afficher CloudWatch les journaux et passez en revue les entrées du groupe de journaux.

Pour plus d'informations sur les journaux de fonctions Lambda, consultez la section Utilisation d'Amazon CloudWatch Logs AWS Lambda dans le manuel du AWS Lambda développeur.

Mon autorisateur Lambda n'existe pas

Une fois que vous avez terminé la configuration d'un magasin de politiques lié à une API, vous devez associer l'autorisateur Lambda à votre API. Si vous ne trouvez pas votre autorisateur dans la console API Gateway, les ressources supplémentaires pour votre magasin de politiques ont peut-être échoué ou n'ont pas encore été déployées. Les magasins de politiques liés à des API déploient ces ressources dans une AWS CloudFormation pile.

Les autorisations vérifiées affichent un lien avec le libellé Vérifier le déploiement à la fin du processus de création. Si vous avez déjà quitté cet écran, accédez à la CloudFormation console et recherchez dans les piles récentes un nom préfixé par. AVPAuthorizer-<policy store ID> CloudFormation fournit des informations de dépannage précieuses dans le résultat d'un déploiement en pile.

Pour obtenir de l'aide pour résoudre les problèmes liés aux CloudFormation piles, consultez la section Résolution des problèmes CloudFormation dans le Guide de AWS CloudFormation l'utilisateur.

Mon API se trouve dans un VPC privé et ne peut pas invoquer l'autorisateur

Les autorisations vérifiées ne prennent pas en charge l'accès aux autorisateurs Lambda via les points de terminaison VPC. Vous devez ouvrir un chemin réseau entre votre API et la fonction Lambda qui vous sert d'autorisateur.

Je souhaite traiter des attributs utilisateur supplémentaires dans mon modèle d'autorisation

Le processus de stockage des politiques lié à l'API déduit les politiques d'autorisations vérifiées à partir des revendications des groupes dans les jetons des utilisateurs. Pour mettre à jour votre modèle d'autorisation afin de prendre en compte des attributs utilisateur supplémentaires, intégrez ces attributs dans vos politiques.

Vous pouvez associer de nombreuses demandes d'identification et de jetons d'accès provenant des groupes d'utilisateurs Amazon Cognito aux déclarations de politique relatives aux autorisations vérifiées. Par exemple, la plupart des utilisateurs ont une email réclamation dans leur jeton d'identification. Pour plus d'informations sur l'ajout de réclamations provenant de votre source d'identité aux politiques, consultezAssocier les jetons du fournisseur d'identité au schéma.

Je souhaite ajouter de nouvelles actions, de nouveaux attributs de contexte d'action ou de nouvelles ressources

Un magasin de politiques lié à une API et l'autorisateur Lambda qu'il crée constituent une ressource. point-in-time Ils reflètent l'état de votre API au moment de sa création. Le schéma du magasin de politiques n'attribue aucun attribut de contexte aux actions, ni aucun attribut ou parent à la Application ressource par défaut.

Lorsque vous ajoutez des actions (chemins et méthodes) à votre API, vous devez mettre à jour votre magasin de règles pour être au courant des nouvelles actions. Vous devez également mettre à jour votre autorisateur Lambda pour traiter les demandes d'autorisation pour les nouvelles actions. Vous pouvez recommencer avec un nouveau magasin de politiques ou mettre à jour votre magasin de politiques existant.

Pour mettre à jour votre magasin de polices existant, localisez votre fonction. Examinez la logique de la fonction générée automatiquement et mettez-la à jour pour traiter les nouvelles actions, les nouveaux attributs ou le nouveau contexte. Modifiez ensuite votre schéma pour inclure les nouvelles actions et les nouveaux attributs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Passage à la production

Supprimer des magasins de politiques