Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat toko kebijakan Izin Terverifikasi
Anda dapat membuat toko kebijakan menggunakan metode berikut:
+ **Ikuti pengaturan terpandu** — Anda akan menentukan jenis sumber daya dengan tindakan yang valid dan tipe utama sebelum membuat kebijakan pertama Anda.
+ **Siapkan dengan API Gateway dan sumber identitas** — Tentukan entitas utama Anda dengan pengguna yang masuk dengan penyedia identitas (iDP), serta entitas tindakan dan sumber daya Anda dari API Amazon API Gateway. Kami merekomendasikan opsi ini jika Anda ingin aplikasi Anda mengotorisasi permintaan API dengan keanggotaan grup pengguna atau atribut lainnya.
+ **Mulai dari toko kebijakan sampel — Pilih toko kebijakan** proyek sampel yang telah ditentukan sebelumnya. Kami merekomendasikan opsi ini jika Anda mempelajari tentang Izin Terverifikasi dan ingin melihat dan menguji kebijakan contoh.
+ **Buat toko kebijakan kosong** — Anda akan menentukan skema dan semua kebijakan akses sendiri. Kami merekomendasikan opsi ini jika Anda sudah terbiasa dengan mengonfigurasi toko kebijakan.
------
#### [ Guided setup ]
**Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi **penyiapan Terpandu****
Panduan penyiapan terpandu mengarahkan Anda melalui proses pembuatan iterasi pertama penyimpanan kebijakan Anda. Anda akan membuat skema untuk jenis sumber daya pertama Anda, menjelaskan tindakan yang berlaku untuk jenis sumber daya tersebut, dan jenis utama yang Anda berikan izin. Anda kemudian akan membuat kebijakan pertama Anda. Setelah menyelesaikan wizard ini, Anda akan dapat menambahkan ke toko kebijakan Anda, memperluas skema untuk menjelaskan sumber daya dan jenis utama lainnya, dan membuat kebijakan dan templat tambahan.
1. Di [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions), pilih **Buat toko kebijakan baru**.
1. Di bagian **Opsi awal**, pilih **Pengaturan terpandu**.
1. Masukkan **deskripsi toko Kebijakan**. Teks ini dapat berupa apa pun yang sesuai dengan organisasi Anda sebagai referensi ramah untuk fungsi toko kebijakan saat ini, misalnya *aplikasi web pembaruan cuaca*.
1. Di bagian **Detail**, ketik **Namespace untuk skema Anda**. Untuk informasi selengkapnya tentang ruang nama, lihat. [Definisi namespace](terminology-differences-avp-cedar.md#differences-namespaces)
1. Pilih **Berikutnya**.
1. Pada jendela **Jenis sumber daya**, ketikkan nama untuk jenis sumber daya Anda. Misalnya, `currentTemperature` bisa menjadi sumber daya untuk *aplikasi web pembaruan Cuaca*.
1. (Opsional) Pilih **Tambahkan atribut** untuk menambahkan atribut sumber daya. Ketik **nama Atribut** dan pilih **tipe Atribut** untuk setiap atribut sumber daya. Pilih apakah setiap atribut **Diperlukan**. Misalnya, `temperatureFormat` bisa menjadi atribut untuk `currentTemperature` sumber daya dan menjadi Fahrenheit atau Celcius. Untuk menghapus atribut yang telah ditambahkan untuk jenis sumber daya, pilih **Hapus** di sebelah atribut.
1. Di bidang **Tindakan**, ketik tindakan yang akan diotorisasi untuk jenis sumber daya yang ditentukan. Untuk menambahkan tindakan tambahan untuk jenis sumber daya, pilih **Tambahkan tindakan**. Misalnya, `viewTemperature` bisa menjadi tindakan dalam *aplikasi web pembaruan Cuaca*. Untuk menghapus tindakan yang telah ditambahkan untuk jenis sumber daya, pilih **Hapus** di samping tindakan.
1. Di **bidang Nama tipe utama**, ketikkan nama untuk jenis prinsipal yang akan menggunakan tindakan yang ditentukan untuk jenis sumber daya Anda. Secara default, **Pengguna** ditambahkan ke bidang ini tetapi dapat diganti.
1. Pilih **Berikutnya**.
1. Pada jendela **Principal type**, pilih sumber identitas untuk tipe utama Anda.
+ Pilih **Kustom** jika ID dan atribut kepala sekolah akan diberikan langsung oleh aplikasi Izin Terverifikasi Anda. Pilih **Tambahkan atribut** untuk menambahkan atribut utama. Izin Terverifikasi menggunakan nilai atribut yang ditentukan saat memverifikasi kebijakan terhadap skema. Untuk menghapus atribut yang telah ditambahkan untuk tipe utama, pilih **Hapus** di sebelah atribut.
+ Pilih **Kumpulan Pengguna Cognito** jika ID dan atribut prinsipal akan diberikan dari ID atau token akses yang dihasilkan oleh. Amazon Cognito Pilih **Connect user pool**. Pilih **Wilayah AWS**dan ketik **ID kumpulan pengguna** dari kumpulan Amazon Cognito pengguna untuk terhubung. Pilih **Hubungkan**. Untuk informasi selengkapnya, lihat [Otorisasi dengan Izin Terverifikasi Amazon di Panduan](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-authorization-with-avp.html) Pengembang *Amazon Cognito*.
+ Pilih **penyedia OIDC Eksternal** jika ID dan atribut prinsipal akan diekstraksi dari token and/or Akses ID, yang dihasilkan oleh penyedia OIDC eksternal dan tambahkan detail penyedia dan token.
1. Pilih **Berikutnya**.
1. Di bagian **Detail kebijakan**, ketikkan **deskripsi Kebijakan** opsional untuk kebijakan Cedar pertama Anda.
1. Di bidang **cakupan Prinsipal**, pilih prinsipal yang akan diberikan izin dari kebijakan.
+ Pilih **Kepala Sekolah Khusus** untuk menerapkan kebijakan ke kepala sekolah tertentu. Pilih prinsipal di **Principal yang akan diizinkan untuk mengambil tindakan** dan ketik pengenal entitas untuk prinsipal. Misalnya, `user-id` bisa menjadi pengenal entitas dalam *aplikasi web pembaruan Cuaca*.
**catatan**
Jika Anda menggunakan Amazon Cognito, pengenal entitas harus diformat sebagai. `|`
+ Pilih **Semua kepala sekolah** untuk menerapkan kebijakan ini ke semua kepala sekolah di toko polis Anda.
1. Di bidang **lingkup Sumber Daya**, pilih sumber daya mana yang akan diberi wewenang untuk ditindaklanjuti oleh prinsipal tertentu.
+ Pilih **Sumber daya khusus** untuk menerapkan kebijakan ke sumber daya tertentu. Pilih sumber daya di Sumber **daya yang harus diterapkan kebijakan ini ke** bidang dan ketik pengenal entitas untuk sumber daya. Misalnya, `temperature-id` bisa menjadi pengenal entitas dalam *aplikasi web pembaruan Cuaca*.
+ Pilih **Semua sumber daya** untuk menerapkan kebijakan ke semua sumber daya di toko kebijakan Anda.
1. Di bidang **lingkup Tindakan**, pilih tindakan mana yang akan diotorisasi oleh prinsipal tertentu untuk dilakukan.
+ Pilih **Kumpulan tindakan khusus** untuk menerapkan kebijakan pada tindakan tertentu. Pilih kotak centang di samping tindakan dalam bidang **Tindakan yang harus diterapkan kebijakan ini**.
+ Pilih **Semua tindakan** untuk menerapkan kebijakan ke semua tindakan di toko kebijakan Anda.
1. Tinjau kebijakan di bagian **Pratinjau kebijakan**. Pilih **Buat toko kebijakan**.
------
#### [ Set up with API Gateway and an identity source ]
**Untuk membuat penyimpanan kebijakan menggunakan metode **Mengatur dengan API Gateway dan konfigurasi sumber identitas****
API Gateway *Opsi ini diamankan APIs dengan kebijakan Izin Terverifikasi yang dirancang untuk membuat keputusan otorisasi dari grup, atau peran pengguna.* Opsi ini membangun penyimpanan kebijakan untuk menguji otorisasi dengan grup sumber identitas dan API dengan otorisasi Lambda.
Pengguna dan grup mereka dalam IDP menjadi prinsipal Anda (token ID) atau konteks Anda (token akses). Metode dan jalur dalam API Gateway API menjadi tindakan yang diotorisasi oleh kebijakan Anda. Aplikasi Anda menjadi sumber daya. Sebagai hasil dari alur kerja ini, Izin Terverifikasi membuat penyimpanan kebijakan, fungsi Lambda, dan otorisasi API Lambda. Anda harus menetapkan otorisasi [Lambda](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) ke API Anda setelah menyelesaikan alur kerja ini.
1. Di [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions), pilih **Buat toko kebijakan baru**.
1. Di bagian **Opsi awal**, pilih **Siapkan dengan API Gateway dan sumber identitas** dan pilih **Berikutnya**.
1. Pada langkah **Impor sumber daya dan tindakan**, di bawah **API**, pilih API yang akan berfungsi sebagai model untuk sumber daya dan tindakan penyimpanan kebijakan Anda.
1. Pilih **tahap Deployment** dari tahapan yang dikonfigurasi di API Anda dan pilih **Impor API**. Untuk informasi selengkapnya tentang tahapan API, lihat [Menyiapkan tahapan untuk REST API di Panduan Pengembang Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-stages.html).
1. Pratinjau **Peta sumber daya dan tindakan yang diimpor**.
1. Untuk memperbarui sumber daya atau tindakan, ubah jalur atau metode API Anda di API Gateway konsol dan pilih **Impor API** untuk melihat pembaruan.
1. Ketika Anda puas dengan pilihan Anda, pilih **Berikutnya**.
1. Di **Sumber identitas**, pilih **jenis penyedia Identitas**. Anda dapat memilih kumpulan Amazon Cognito pengguna atau tipe IdP OpenID Connect (OIDC).
1. Jika Anda memilih **Amazon Cognito**:
1. Pilih kumpulan pengguna yang sama Wilayah AWS dan Akun AWS sebagai toko kebijakan Anda.
1. Pilih **jenis Token untuk diteruskan ke API** yang ingin Anda kirimkan untuk otorisasi. Jenis token mana pun berisi grup pengguna, dasar dari model otorisasi terkait API ini.
1. Di bawah **Validasi klien App**, Anda dapat membatasi cakupan penyimpanan kebijakan ke subset klien Amazon Cognito aplikasi dalam kumpulan pengguna multi-penyewa. Untuk mengharuskan pengguna melakukan autentikasi dengan satu atau beberapa klien aplikasi tertentu di kumpulan pengguna Anda, pilih **Hanya terima token dengan klien IDs aplikasi yang diharapkan**. Untuk menerima pengguna yang melakukan autentikasi dengan kumpulan pengguna, pilih **Jangan memvalidasi klien aplikasi**. IDs
1. Pilih **Berikutnya**.
1. Jika Anda memilih penyedia **OIDC Eksternal**:
1. Di **URL Penerbit**, masukkan URL penerbit OIDC Anda. Ini adalah titik akhir layanan yang menyediakan server otorisasi, kunci penandatanganan, dan informasi lain tentang penyedia Anda, misalnya. `https://auth.example.com` URL penerbit Anda harus meng-host dokumen penemuan OIDC di. `/.well-known/openid-configuration`
1. Pada **tipe Token**, pilih jenis OIDC JWT yang Anda ingin aplikasi Anda kirimkan untuk otorisasi. Untuk informasi selengkapnya, lihat [Memetakan Amazon Cognito token ke skema](cognito-map-token-to-schema.md) dan [Memetakan token OIDC](oidc-map-token-to-schema.md) ke skema.
1. (opsional) Dalam **klaim Token - opsional**, pilih **Tambahkan klaim token**, masukkan nama untuk token, dan pilih jenis nilai.
1. Dalam **klaim token Pengguna dan grup**, lakukan hal berikut:
1. Masukkan **nama klaim Pengguna dalam token** untuk sumber identitas. Ini adalah klaim, biasanya`sub`, dari ID atau token akses Anda yang memegang pengenal unik untuk entitas yang akan dievaluasi. Identitas dari IDP OIDC yang terhubung akan dipetakan ke jenis pengguna di toko kebijakan Anda.
1. Masukkan **nama klaim Grup dalam token** untuk sumber identitas. Ini adalah klaim, biasanya`groups`, dari ID atau token akses Anda yang berisi daftar grup pengguna. Toko kebijakan Anda akan mengotorisasi permintaan berdasarkan keanggotaan grup.
1. Dalam **validasi Audiens**, pilih `Add value` dan tambahkan nilai yang ingin diterima oleh toko kebijakan dalam permintaan otorisasi.
1. Pilih **Berikutnya**.
1. Jika Anda memilih **Amazon Cognito**, Izin Terverifikasi menanyakan kumpulan pengguna Anda untuk grup. Untuk penyedia OIDC, masukkan nama grup secara manual. Langkah **Tetapkan tindakan ke grup** membuat kebijakan untuk penyimpanan kebijakan Anda yang mengizinkan anggota grup melakukan tindakan.
1. Pilih atau tambahkan grup yang ingin Anda sertakan dalam kebijakan Anda.
1. Tetapkan tindakan ke setiap grup yang Anda pilih.
1. Pilih **Berikutnya**.
1. Di **Deploy integrasi aplikasi**, pilih apakah Anda ingin melampirkan otorisasi Lambda secara manual nanti secara manual atau jika Anda ingin Izin Terverifikasi melakukannya untuk Anda sekarang dan tinjau langkah-langkah yang akan diambil Izin Terverifikasi untuk membuat toko kebijakan dan otorisasi Lambda.
1. Saat Anda siap membuat sumber daya baru, pilih **Buat toko kebijakan**.
1. Biarkan langkah **status penyimpanan Kebijakan** tetap terbuka di browser Anda untuk memantau kemajuan pembuatan sumber daya berdasarkan Izin Terverifikasi.
1. Setelah beberapa waktu, biasanya sekitar satu jam, atau ketika langkah otorisasi **Lambda Deploy** **menunjukkan** Sukses, jika Anda memilih untuk melampirkan otorisasi secara manual, konfigurasikan otorisasi Anda.
Izin Terverifikasi akan membuat fungsi Lambda dan otorisasi Lambda di API Anda. Pilih **Open API** untuk menavigasi ke API Anda.
Untuk mempelajari cara menetapkan otorisasi Lambda, lihat [Menggunakan otorisasi API Gateway Lambda](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) di Panduan Pengembang Amazon *API* Gateway.
1. Arahkan ke **Authorizers** untuk API Anda dan catat nama otorisasi yang dibuat oleh Izin Terverifikasi.
1. Arahkan ke **Sumber Daya** dan pilih metode tingkat atas di API Anda.
1. Pilih **Edit** di bawah **Pengaturan permintaan metode**.
1. Atur **Authorizer** menjadi nama otorisasi yang Anda catat sebelumnya.
1. Perluas **header permintaan HTTP**, masukkan **Nama** atau`AUTHORIZATION`, dan pilih **Diperlukan**.
1. Menerapkan tahap API.
1. **Simpan** perubahan Anda.
1. Uji otorisasi Anda dengan token kumpulan pengguna dari **jenis Token** yang Anda pilih di langkah **Pilih sumber identitas**. Untuk informasi selengkapnya tentang login dan mengambil token kumpulan pengguna, lihat [Alur autentikasi kumpulan pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-authentication-flow.html) di Panduan Pengembang *Amazon* Cognito.
1. Uji otentikasi lagi dengan token kumpulan pengguna di `AUTHORIZATION` header permintaan ke API Anda.
1. Periksa toko kebijakan baru Anda. Tambahkan dan perbaiki kebijakan.
------
#### [ Sample policy store ]
**Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi **penyimpanan kebijakan Sample****
1. Di bagian **Opsi awal**, pilih **Contoh penyimpanan kebijakan**.
1. Di bagian **proyek Contoh**, pilih jenis contoh aplikasi Izin Terverifikasi yang akan digunakan.
+ **PhotoFlash**adalah contoh aplikasi web yang menghadap pelanggan yang memungkinkan pengguna untuk berbagi foto dan album individual dengan teman-teman. Pengguna dapat mengatur izin berbutir halus tentang siapa yang diizinkan untuk melihat, mengomentari, dan membagikan kembali foto mereka. Pemilik akun juga dapat membuat grup teman dan mengatur foto ke dalam album.
+ **DigitalPetStore**adalah contoh aplikasi di mana siapa pun dapat mendaftar dan menjadi pelanggan. Pelanggan dapat menambahkan hewan peliharaan untuk dijual, mencari hewan peliharaan, dan memesan. Pelanggan yang telah menambahkan hewan peliharaan dicatat sebagai pemilik hewan peliharaan. Pemilik hewan peliharaan dapat memperbarui detail hewan peliharaan, mengunggah gambar hewan peliharaan, atau menghapus daftar hewan peliharaan. Pelanggan yang telah melakukan pemesanan dicatat sebagai pemilik pesanan. Pemilik pesanan bisa mendapatkan detail pesanan atau membatalkannya. Manajer toko hewan peliharaan memiliki akses administratif.
**catatan**
Penyimpanan kebijakan **DigitalPetStore**sampel tidak menyertakan templat kebijakan. Toko kebijakan **PhotoFlash**dan **TinyTodo**contoh menyertakan templat kebijakan.
+ **TinyTodo**adalah contoh aplikasi yang memungkinkan pengguna untuk membuat taks dan daftar tugas. Pemilik daftar dapat mengelola dan membagikan daftar mereka dan menentukan siapa yang dapat melihat atau mengedit daftar mereka.
1. Namespace untuk skema penyimpanan kebijakan sampel Anda dibuat secara otomatis berdasarkan proyek sampel yang Anda pilih.
1. Pilih **Buat toko kebijakan**.
Toko kebijakan Anda dibuat dengan kebijakan dan skema untuk toko kebijakan sampel yang Anda pilih. Untuk informasi selengkapnya tentang kebijakan terkait templat yang dapat Anda buat untuk penyimpanan kebijakan sampel, lihat. [Izin Terverifikasi Amazon contoh kebijakan terkait templat](policy-templates-example-policies.md)
------
#### [ Empty policy store ]
**Untuk membuat penyimpanan kebijakan menggunakan metode konfigurasi **penyimpanan kebijakan Kosong****
1. Di bagian **Opsi awal**, pilih **Kosongkan toko kebijakan**.
1. Pilih **Buat toko kebijakan**.
Penyimpanan kebijakan kosong dibuat tanpa skema, yang berarti kebijakan tidak divalidasi. Untuk informasi selengkapnya tentang memperbarui skema untuk toko kebijakan Anda, lihat[Skema toko kebijakan Izin Terverifikasi Amazon](schema.md).
Untuk informasi selengkapnya tentang membuat kebijakan untuk toko kebijakan Anda, lihat [Membuat kebijakan statis Izin Terverifikasi Amazon](policies-create.md) dan[Membuat kebijakan terkait templat Izin Terverifikasi Amazon](policy-templates-create-policy.md).
------
#### [ AWS CLI ]
**Untuk membuat toko kebijakan kosong dengan menggunakan file AWS CLI.**
Anda dapat membuat toko kebijakan dengan menggunakan `create-policy-store` operasi.
**catatan**
Toko kebijakan yang Anda buat dengan menggunakan kosong. AWS CLI
Untuk menambahkan skema, lihat[Skema toko kebijakan Izin Terverifikasi Amazon](schema.md).
Untuk menambahkan kebijakan, lihat[Membuat kebijakan statis Izin Terverifikasi Amazon](policies-create.md).
Untuk menambahkan templat kebijakan, lihat[Membuat templat kebijakan Izin Terverifikasi Amazon](policy-templates-create.md).
```
$ aws verifiedpermissions create-policy-store \
--validation-settings "mode=STRICT"
{
"arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
"createdDate": "2023-05-16T17:41:29.103459+00:00",
"lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
"policyStoreId": "PSEXAMPLEabcdefg111111"
}
```
------
#### [ AWS SDKs ]
Anda dapat membuat toko kebijakan menggunakan `CreatePolicyStore` API. Untuk informasi selengkapnya, lihat [CreatePolicyStore](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreatePolicyStore.html)di Panduan Referensi API Izin Terverifikasi Amazon.
------