As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criação de fontes de Amazon Cognito identidade do Amazon Verified Permissions O procedimento a seguir adiciona uma fonte de identidade a um repositório de políticas existente. Você também pode criar uma fonte de identidade ao [criar um novo repositório de políticas](policy-stores-create.md) no console de Permissões Verificadas. Nesse processo, você pode importar automaticamente as declarações em seus tokens de origem de identidade para os atributos da entidade. Escolha a opção **Configuração guiada** ou ** API Gateway Configurar com um provedor de identidade**. Essas opções também criam políticas iniciais. **nota** As **origens de identidade** só estarão disponíveis no painel de navegação à esquerda depois que você criar um armazenamento de políticas. As origens de identidade criadas por você são associadas ao armazenamento de políticas atual. Você pode omitir o tipo de entidade principal ao criar uma fonte de identidade [create-identity-source](https://docs.aws.amazon.com/cli/latest/reference/verifiedpermissions/create-identity-source.html)na API de permissões verificadas AWS CLI ou [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)na API de permissões verificadas. No entanto, um tipo de entidade em branco cria uma fonte de identidade com um tipo de entidade de`AWS::Cognito`. Esse nome de entidade não é compatível com o esquema do repositório de políticas. Para integrar Amazon Cognito identidades com seu esquema de armazenamento de políticas, você deve definir o tipo de entidade principal como uma entidade de armazenamento de políticas compatível. ------ #### [ Console de gerenciamento da AWS ] **Para criar uma origem de identidade de grupos de usuários do Amazon Cognito** 1. Abra o [console de Permissões verificadas](https://console.aws.amazon.com/verifiedpermissions/). Escolha seu repositório de políticas. 1. No painel de navegação à esquerda, escolha **Origens de identidade**. 1. Escolha **Criar origem de identidade**. 1. Em **Detalhes do grupo de usuários do Cognito**, selecione Região da AWS e insira o **ID do grupo de usuários** para sua fonte de identidade. 1. Em **Configuração principal**, em **Tipo principal**, escolha o tipo de entidade para principais dessa origem. As identidades dos grupos de usuários conectados do Amazon Cognito serão mapeadas para o tipo de entidade principal selecionado. 1. Em **Configuração de grupo**, selecione **Usar grupo Cognito** se quiser mapear a declaração do grupo `cognito:groups` de usuários. Escolha um tipo de entidade que seja pai do tipo principal. 1. Em **Validação do aplicativo cliente**, escolha se deseja validar o aplicativo IDs cliente. + Para validar o aplicativo cliente IDs, escolha **Aceitar somente tokens com o aplicativo IDs cliente correspondente**. Escolha **Adicionar novo ID de aplicação cliente** para cada ID de aplicação cliente a ser validado. Para remover um ID de aplicação cliente adicionado, escolha **Remover** ao lado do ID de aplicação cliente. + Escolha **Não validar o aplicativo cliente IDs** se você não quiser validar o aplicativo cliente. IDs 1. Escolha **Criar origem de identidade**. 1. (Opcional) Se seu repositório de políticas tiver um esquema, antes de fazer referência aos atributos extraídos dos tokens de identidade ou acesso em suas políticas do Cedar, você deverá atualizar seu esquema para que o Cedar conheça o tipo de principal que sua fonte de identidade cria. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento de atributos de Amazon Cognito token para os atributos principais do Cedar, consulte[Mapeamento de Amazon Cognito tokens para o esquema](cognito-map-token-to-schema.md). **nota** Quando você cria um [repositório de políticas vinculado à API](policy-stores-api-userpool.md) ou usa **Configurar com API Gateway um provedor de identidade** ao criar repositórios de políticas, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários. 1. Crie políticas que usem informações dos tokens para tomar decisões de autorização. Para obter mais informações, consulte [Criação de políticas estáticas do Amazon Verified Permissions](policies-create.md). Agora que você criou uma fonte de identidade, atualizou o esquema e criou políticas, use `IsAuthorizedWithToken` para que as Permissões Verificadas tomem decisões de autorização. Para obter mais informações, consulte [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)o *guia de referência da Amazon Verified Permissions API*. ------ #### [ AWS CLI ] **Para criar uma origem de identidade de grupos de usuários do Amazon Cognito** Você pode criar uma fonte de identidade usando a [CreateIdentitySource](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreateIdentitySource.html)operação. O exemplo a seguir cria uma fonte de identidade que pode acessar identidades autenticadas de um grupo de Amazon Cognito usuários. 1. Crie um `config.txt` arquivo que contenha os seguintes detalhes do grupo de Amazon Cognito usuários para uso pelo `--configuration` parâmetro no `create-identity-source` comando. ``` { "cognitoUserPoolConfiguration": { "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5", "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"], "groupConfiguration": { "groupEntityType": "MyCorp::UserGroup" } } } ``` 1. Execute o comando a seguir para criar uma fonte de Amazon Cognito identidade. ``` $ aws verifiedpermissions create-identity-source \ --configuration file://config.txt \ --principal-entity-type "User" \ --policy-store-id 123456789012 { "createdDate": "2023-05-19T20:30:28.214829+00:00", "identitySourceId": "ISEXAMPLEabcdefg111111", "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00", "policyStoreId": "PSEXAMPLEabcdefg111111" } ``` 1. (Opcional) Se seu repositório de políticas tiver um esquema, antes de fazer referência aos atributos extraídos dos tokens de identidade ou acesso em suas políticas do Cedar, você deverá atualizar seu esquema para que o Cedar conheça o tipo de principal que sua fonte de identidade cria. Essa adição ao esquema deve incluir os atributos que você deseja referenciar nas políticas do Cedar. Para obter mais informações sobre o mapeamento de atributos de Amazon Cognito token para os atributos principais do Cedar, consulte[Mapeamento de Amazon Cognito tokens para o esquema](cognito-map-token-to-schema.md). **nota** Quando você cria um [repositório de políticas vinculado à API](policy-stores-api-userpool.md) ou usa **Configurar com API Gateway um provedor de identidade** ao criar repositórios de políticas, o Verified Permissions consulta seu grupo de usuários em busca de atributos de usuário e cria um esquema em que seu tipo principal é preenchido com atributos do grupo de usuários. 1. Crie políticas que usem informações dos tokens para tomar decisões de autorização. Para obter mais informações, consulte [Criação de políticas estáticas do Amazon Verified Permissions](policies-create.md). Agora que você criou uma fonte de identidade, atualizou o esquema e criou políticas, use `IsAuthorizedWithToken` para que as Permissões Verificadas tomem decisões de autorização. Para obter mais informações, consulte [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)o *guia de referência da Amazon Verified Permissions API*. ------ Para obter mais informações sobre o uso de tokens de acesso e identidade do Amazon Cognito para usuários autenticados no Verified Permissions, consulte [Autorização com o Amazon Verified Permissions](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-authorization-with-avp.html) no *Guia do desenvolvedor do Amazon Cognito*.