Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat sumber Amazon Cognito identitas Izin Terverifikasi Amazon Prosedur berikut menambahkan sumber identitas ke toko kebijakan yang ada. Anda juga dapat membuat sumber identitas saat [membuat penyimpanan kebijakan baru](policy-stores-create.md) di konsol Izin Terverifikasi. Dalam proses ini, Anda dapat secara otomatis mengimpor klaim dalam token sumber identitas Anda ke atribut entitas. Pilih opsi **Pengaturan terpandu** atau **Siapkan dengan API Gateway dan penyedia identitas**. Opsi ini juga membuat kebijakan awal. **catatan** **Sumber identitas** tidak tersedia di panel navigasi di sebelah kiri hingga Anda membuat toko kebijakan. Sumber identitas yang Anda buat terkait dengan penyimpanan kebijakan saat ini. Anda dapat mengabaikan tipe entitas utama saat membuat sumber identitas dengan [create-identity-source](https://docs.aws.amazon.com/cli/latest/reference/verifiedpermissions/create-identity-source.html)di AWS CLI atau di API [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)Izin Terverifikasi. Namun, tipe entitas kosong menciptakan sumber identitas dengan tipe entitas`AWS::Cognito`. Nama entitas ini tidak kompatibel dengan skema penyimpanan kebijakan. Untuk mengintegrasikan Amazon Cognito identitas dengan skema penyimpanan kebijakan, Anda harus menyetel jenis entitas utama ke entitas penyimpanan kebijakan yang didukung. ------ #### [ Konsol Manajemen AWS ] **Untuk membuat sumber identitas kumpulan pengguna Amazon Cognito** 1. Buka [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions/). Pilih toko polis Anda. 1. Di panel navigasi di sebelah kiri, pilih **Sumber identitas**. 1. Pilih **Buat sumber identitas**. 1. Di **detail kumpulan pengguna Cognito**, pilih Wilayah AWS dan masukkan **ID kumpulan Pengguna untuk sumber** identitas Anda. 1. Dalam **konfigurasi Principal**, untuk **tipe Principal**, pilih tipe entitas untuk prinsipal dari sumber ini. Identitas dari kumpulan pengguna Amazon Cognito yang terhubung akan dipetakan ke tipe utama yang dipilih. 1. Dalam **Konfigurasi grup**, pilih **Gunakan grup Cognito** jika Anda ingin memetakan klaim kumpulan `cognito:groups` pengguna. Pilih tipe entitas yang merupakan induk dari tipe utama. 1. Dalam **validasi aplikasi Klien**, pilih apakah akan memvalidasi aplikasi klien. IDs + Untuk memvalidasi aplikasi klien IDs, pilih **Hanya terima token dengan aplikasi IDs klien yang cocok**. Pilih **Tambahkan ID aplikasi klien baru untuk setiap ID** aplikasi klien untuk memvalidasi. Untuk menghapus ID aplikasi klien yang telah ditambahkan, pilih **Hapus** di sebelah ID aplikasi klien. + Pilih **Jangan memvalidasi aplikasi klien IDs** jika Anda tidak ingin memvalidasi aplikasi klien. IDs 1. Pilih **Buat sumber identitas**. 1. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut Amazon Cognito token ke atribut utama Cedar, lihat. [Memetakan Amazon Cognito token ke skema](cognito-map-token-to-schema.md) **catatan** Saat Anda membuat [penyimpanan kebijakan terkait API atau menggunakan Penyiapan](policy-stores-api-userpool.md) **dengan API Gateway dan penyedia identitas** saat membuat penyimpanan kebijakan, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk atribut pengguna dan membuat skema tempat tipe utama Anda diisi dengan atribut kumpulan pengguna. 1. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat [Membuat kebijakan statis Izin Terverifikasi Amazon](policies-create.md). Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan `IsAuthorizedWithToken` agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)di *panduan referensi API Izin Terverifikasi Amazon*. ------ #### [ AWS CLI ] **Untuk membuat sumber identitas kumpulan pengguna Amazon Cognito** Anda dapat membuat sumber identitas dengan menggunakan [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)operasi. Contoh berikut membuat sumber identitas yang dapat mengakses identitas yang diautentikasi dari kumpulan Amazon Cognito pengguna. 1. Buat `config.txt` file yang berisi rincian berikut dari kumpulan Amazon Cognito pengguna untuk digunakan oleh `--configuration` parameter dalam `create-identity-source` perintah. ``` { "cognitoUserPoolConfiguration": { "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5", "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"], "groupConfiguration": { "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. Jalankan perintah berikut untuk membuat sumber Amazon Cognito identitas. ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (Opsional) Jika toko kebijakan Anda memiliki skema, sebelum Anda dapat mereferensikan atribut yang Anda ekstrak dari identitas atau token akses dalam kebijakan Cedar Anda, Anda harus memperbarui skema Anda untuk membuat Cedar mengetahui jenis prinsipal yang dibuat oleh sumber identitas Anda. Penambahan skema itu harus menyertakan atribut yang ingin Anda referensikan dalam kebijakan Cedar Anda. Untuk informasi selengkapnya tentang pemetaan atribut Amazon Cognito token ke atribut utama Cedar, lihat. [Memetakan Amazon Cognito token ke skema](cognito-map-token-to-schema.md) **catatan** Saat Anda membuat [penyimpanan kebijakan terkait API atau menggunakan Penyiapan](policy-stores-api-userpool.md) **dengan API Gateway dan penyedia identitas** saat membuat penyimpanan kebijakan, Izin Terverifikasi akan menanyakan kumpulan pengguna Anda untuk atribut pengguna dan membuat skema tempat tipe utama Anda diisi dengan atribut kumpulan pengguna. 1. Buat kebijakan yang menggunakan informasi dari token untuk membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat [Membuat kebijakan statis Izin Terverifikasi Amazon](policies-create.md). Setelah Anda membuat sumber identitas, memperbarui skema, dan membuat kebijakan, gunakan `IsAuthorizedWithToken` agar Izin Terverifikasi membuat keputusan otorisasi. Untuk informasi selengkapnya, lihat [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)di *panduan referensi API Izin Terverifikasi Amazon*. ------ *Untuk informasi selengkapnya tentang penggunaan akses Amazon Cognito dan token identitas untuk pengguna yang diautentikasi di Izin Terverifikasi, lihat Otorisasi [dengan Izin Terverifikasi Amazon di Panduan Pengembang Amazon](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-authorization-with-avp.html) Cognito.*