기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# API 연결 정책 스토어 문제 해결
<a name="policy-stores-api-userpool-considerations-troubleshooting"></a>

Amazon Verified Permissions API 연결 정책 스토어를 빌드할 때 일반적인 문제를 진단하고 해결하는 데 도움이 되도록 여기의 정보를 사용하세요.

**Topics**
+ [정책을 업데이트했지만 권한 부여 결정이 변경되지 않음](#policy-stores-api-userpool-considerations-troubleshooting-update-didnt-change)
+ [API에 Lambda 권한 부여자를 연결했지만 권한 부여 요청을 생성하지 않습니다.](#policy-stores-api-userpool-considerations-troubleshooting-attached-not-deployed)
+ [예상치 못한 권한 부여 결정을 받았으며 권한 부여 로직을 검토하고 싶습니다.](#policy-stores-api-userpool-considerations-troubleshooting-review-code)
+ [Lambda 권한 부여자에서 로그를 찾고 싶습니다.](#policy-stores-api-userpool-considerations-troubleshooting-find-logs)
+ [Lambda 권한 부여자가 존재하지 않음](#policy-stores-api-userpool-considerations-troubleshooting-didnt-deploy)
+ [API가 프라이빗 VPC에 있으며 권한 부여자를 호출할 수 없음](#policy-stores-api-userpool-considerations-troubleshooting-in-a-vpc)
+ [권한 부여 모델에서 추가 사용자 속성을 처리하고 싶습니다.](#policy-stores-api-userpool-considerations-troubleshooting-fgac)
+ [새 작업, 작업 컨텍스트 속성 또는 리소스 속성을 추가하려고 함](#policy-stores-api-userpool-considerations-troubleshooting-action-resource-attributes)

## 정책을 업데이트했지만 권한 부여 결정이 변경되지 않음
<a name="policy-stores-api-userpool-considerations-troubleshooting-update-didnt-change"></a>

기본적으로 Verified Permissions는 120초 동안 권한 부여 결정을 캐싱하도록 Lambda 권한 부여자를 구성합니다. 2분 후에 다시 시도하거나 권한 부여자의 캐시를 비활성화합니다. 자세한 내용은 *Amazon API Gateway * [API Gateway 개발자 안내서의 API 캐싱 활성화를 참조하세요](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html).

## API에 Lambda 권한 부여자를 연결했지만 권한 부여 요청을 생성하지 않습니다.
<a name="policy-stores-api-userpool-considerations-troubleshooting-attached-not-deployed"></a>

요청 처리를 시작하려면 권한 부여자를 연결한 API 단계를 배포해야 합니다. 자세한 내용은 *Amazon API Gateway * [API Gateway 개발자 안내서의 REST API 배포](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-deploy-api.html)를 참조하세요.

## 예상치 못한 권한 부여 결정을 받았으며 권한 부여 로직을 검토하고 싶습니다.
<a name="policy-stores-api-userpool-considerations-troubleshooting-review-code"></a>

API 연결 정책 스토어 프로세스는 권한 부여자를 위한 Lambda 함수를 생성합니다. Verified Permissions는 권한 부여 결정의 로직을 권한 부여자 함수에 자동으로 빌드합니다. 정책 스토어를 생성한 후 돌아가 함수의 로직을 검토하고 업데이트할 수 있습니다.

 AWS CloudFormation 콘솔에서 Lambda 함수를 찾으려면 새 정책 스토어의 **개요** 페이지에서 **배포 확인** 버튼을 선택합니다.

 AWS Lambda 콘솔에서 함수를 찾을 수도 있습니다. 정책 스토어 AWS 리전 의에서 콘솔로 이동하여 접두사가 인 함수 이름을 검색합니다`AVPAuthorizerLambda`. API 연결 정책 스토어를 두 개 이상 생성한 경우 함수의 **마지막 수정** 시간을 사용하여 이를 정책 스토어 생성과 상호 연관시킵니다.

## Lambda 권한 부여자에서 로그를 찾고 싶습니다.
<a name="policy-stores-api-userpool-considerations-troubleshooting-find-logs"></a>

Lambda 함수는 지표를 수집하고 Amazon CloudWatch에 호출 결과를 기록합니다. 로그를 검토하려면 Lambda 콘솔에서 [함수를 찾아](#policy-stores-api-userpool-considerations-troubleshooting-review-code) **모니터** 탭을 선택합니다. **CloudWatch 로그 보기를** 선택하고 로그 그룹의 항목을 검토합니다.

Lambda 함수 로그에 대한 자세한 내용은 *AWS Lambda 개발자 안내서*의 [에서 Amazon CloudWatch Logs 사용을 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html) 참조하세요.

## Lambda 권한 부여자가 존재하지 않음
<a name="policy-stores-api-userpool-considerations-troubleshooting-didnt-deploy"></a>

API 연결 정책 스토어 설정을 완료한 후에는 Lambda 권한 부여자를 API에 연결해야 합니다. API Gateway 콘솔에서 권한 부여자를 찾을 수 없는 경우 정책 스토어의 추가 리소스가 실패했거나 아직 배포되지 않았을 수 있습니다. API 연결 정책 스토어는 이러한 리소스를 CloudFormation 스택에 배포합니다.

Verified Permissions는 생성 프로세스 종료 시 **배포 확인** 레이블이 있는 링크를 표시합니다. 이미이 화면에서 다른 곳으로 이동한 경우 CloudFormation 콘솔로 이동하여 최근 스택에서 접두사가 붙은 이름을 검색합니다`AVPAuthorizer-<policy store ID>`. CloudFormation은 스택 배포의 출력에 중요한 문제 해결 정보를 제공합니다.

CloudFormation 스택 문제 해결에 대한 도움말은 *AWS CloudFormation 사용 설명서*의 [ CloudFormation 문제 해결을 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html).

## API가 프라이빗 VPC에 있으며 권한 부여자를 호출할 수 없음
<a name="policy-stores-api-userpool-considerations-troubleshooting-in-a-vpc"></a>

Verified Permissions는 VPC 엔드포인트를 통한 Lambda 권한 부여자에 대한 액세스를 지원하지 않습니다. API와 권한 부여자 역할을 하는 Lambda 함수 간에 네트워크 경로를 열어야 합니다.

## 권한 부여 모델에서 추가 사용자 속성을 처리하고 싶습니다.
<a name="policy-stores-api-userpool-considerations-troubleshooting-fgac"></a>

API 연결 정책 스토어 프로세스는 사용자 토큰의 그룹 클레임에서 Verified Permissions 정책을 파생합니다. 추가 사용자 속성을 고려하도록 권한 부여 모델을 업데이트하려면 해당 속성을 정책에 통합합니다.

Amazon Cognito 사용자 풀의 ID 및 액세스 토큰에 있는 여러 클레임을 Verified Permissions 정책 설명에 매핑할 수 있습니다. 예를 들어 대부분의 사용자는 ID 토큰에 `email` 클레임이 있습니다. 자격 증명 소스의 클레임을 정책에 추가하는 방법에 대한 자세한 내용은 [스키마에 Amazon Cognito 토큰 매핑](cognito-map-token-to-schema.md) 및 스키[마에 OIDC 토큰 매핑을](oidc-map-token-to-schema.md) 참조하세요.

## 새 작업, 작업 컨텍스트 속성 또는 리소스 속성을 추가하려고 함
<a name="policy-stores-api-userpool-considerations-troubleshooting-action-resource-attributes"></a>

API 연결 정책 스토어와 생성하는 Lambda 권한 부여자는 point-in-time 리소스입니다. 생성 시 API의 상태를 반영합니다. 정책 스토어 스키마는 작업에 컨텍스트 속성이나 기본 `Application` 리소스에 속성 또는 상위 속성을 할당하지 않습니다.

API에 경로 및 메서드와 같은 작업을 추가할 때 새 작업을 인식하도록 정책 스토어를 업데이트해야 합니다. 또한 새 작업에 대한 권한 부여 요청을 처리하도록 Lambda 권한 부여자를 업데이트해야 합니다. [새 정책 스토어로 다시 시작](policy-stores-create.md)하거나 기존 정책 스토어를 업데이트할 수 있습니다.

기존 정책 스토어를 업데이트하려면 [함수를 찾습니다](#policy-stores-api-userpool-considerations-troubleshooting-review-code). 자동으로 생성된 함수에서 로직을 검사하고 업데이트하여 새 작업, 속성 또는 컨텍스트를 처리합니다. 그런 다음 [스키마를 편집](schema-edit.md)하여 새 작업과 속성을 포함합니다.