Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verifizierte Zugriffsrichtlinien
AWS Verified Access Mithilfe von Richtlinien können Sie Regeln für den Zugriff auf Ihre in gehosteten Anwendungen definieren AWS. Sie sind in Cedar, einer AWS Richtliniensprache, verfasst. Mit Cedar können Sie Richtlinien erstellen, die anhand der Vertrauensdaten bewertet werden, die von den identitäts- oder gerätebasierten Vertrauensanbietern gesendet werden, die Sie für die Verwendung mit Verified Access konfigurieren.
Ausführlichere Informationen zur Sprache der Cedar-Richtlinien finden Sie im [Cedar-Referenzhandbuch.](https://docs.cedarpolicy.com/)
Wenn Sie [eine Verified Access-Gruppe](create-verified-access-group.md) oder [einen Verified Access-Endpunkt erstellen](verified-access-endpoints.md), haben Sie die Möglichkeit, die Verified Access-Richtlinie zu definieren. Sie können eine Gruppe oder einen Endpunkt erstellen, ohne die Richtlinie für verifizierten Zugriff zu definieren. Alle Zugriffsanfragen werden jedoch blockiert, bis Sie eine Richtlinie definieren. Alternativ können Sie eine Richtlinie für eine bestehende Gruppe oder einen Endpunkt mit verifiziertem Zugriff hinzufügen oder ändern, nachdem dieser erstellt wurde.
**Topics**
+ [Grundsatzerklärungen](auth-policies-policy-statement-struct.md)
+ [Integrierte Operatoren](built-in-policy-operators.md)
+ [Richtlinienevaluierung](auth-policies-policy-eval.md)
+ [Kurzschluss der Richtlinienlogik](auth-policies-policy-eval-short-circ.md)
+ [Beispielrichtlinien](trust-data-iam-add-pol.md)
+ [Assistent für Richtlinien](policy-assistant.md)
# Struktur der Erklärung zur Verified Access-Richtlinie
Die folgende Tabelle zeigt die Struktur einer Richtlinie für verifizierten Zugriff.
| Komponente | Syntax |
| --- | --- |
| Auswirkung | `permit \| forbid` |
| scope | `(principal, action, resource)` |
| Bedingungsklausel | when {
context.policy-reference-name.attribute-name
}; |
## Komponenten der Richtlinie
Eine Richtlinie für verifizierten Zugriff umfasst die folgenden Komponenten:
+ **Auswirkung** — Zugriff entweder `permit` (zulassen) oder `forbid` (verweigern).
+ **Geltungsbereich** — Die Prinzipien, Aktionen und Ressourcen, für die der Effekt gilt. Sie können den Geltungsbereich in Cedar undefiniert lassen, indem Sie keine bestimmten Prinzipale, Aktionen oder Ressourcen angeben. In diesem Fall gilt die Richtlinie für alle möglichen Prinzipale, Aktionen und Ressourcen.
+ **Bedingungsklausel** — Der Kontext, in dem der Effekt gilt.
**Wichtig**
Bei Verified Access werden Richtlinien vollständig ausgedrückt, indem in der Bedingungsklausel auf Vertrauensdaten verwiesen wird. **Der Geltungsbereich der Richtlinie muss immer undefiniert bleiben**. In der Bedingungsklausel können Sie dann den Zugriff anhand der Identität und des Gerätevertrauenskontextes spezifizieren.
## Kommentare
Sie können Kommentare in Ihre AWS Verified Access Richtlinien aufnehmen. Kommentare sind als Zeilen definiert, die mit einem Zeilenumbruchzeichen beginnen `//` und damit enden.
Das folgende Beispiel zeigt Kommentare in einer Richtlinie.
```
// grants access to users in a specific domain using trusted devices
permit(principal, action, resource)
when {
// the user's email address is in the @example.com domain
context.idc.user.email.address.contains("@example.com")
// Jamf thinks the user's computer is low risk or secure.
&& ["LOW", "SECURE"].contains(context.jamf.risk)
};
```
## Mehrere Klauseln
Mithilfe des `&&` Operators können Sie in einer Richtlinienerklärung mehr als eine Bedingungsklausel verwenden.
```
permit(principal,action,resource)
when{
context.policy-reference-name.attribute1 &&
context.policy-reference-name.attribute2
};
```
Weitere Beispiele finden Sie unter [Beispielrichtlinien für verifizierten Zugriff](trust-data-iam-add-pol.md).
## Reservierte Zeichen
Das folgende Beispiel zeigt, wie eine Richtlinie geschrieben wird, wenn eine Kontexteigenschaft ein `:` (Semikolon) verwendet, was ein reserviertes Zeichen in der Richtliniensprache ist.
```
permit(principal, action, resource)
when {
context.policy-reference-name["namespace:groups"].contains("finance")
};
```
# Integrierte Operatoren für Richtlinien für verifizierten Zugriff
Wenn Sie den Kontext einer AWS Verified Access Richtlinie unter Verwendung verschiedener Bedingungen erstellen, können Sie, wie unter beschrieben[Struktur der Erklärung zur Verified Access-Richtlinie](auth-policies-policy-statement-struct.md), den `&&` Operator verwenden, um zusätzliche Bedingungen hinzuzufügen. Es gibt auch viele andere integrierte Operatoren, mit denen Sie Ihren Versicherungsbedingungen zusätzliche Aussagekraft verleihen können. Die folgende Tabelle enthält alle integrierten Operatoren als Referenz.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/verified-access/latest/ug/built-in-policy-operators.html)
# Verifizierte Bewertung der Zugriffsrichtlinie
Ein Richtliniendokument besteht aus einer oder mehreren Grundsatzerklärungen (`permit`oder `forbid` Aussagen). Die Richtlinie gilt, wenn die Bedingungsklausel (die `when` Aussage) wahr ist. Damit ein Richtliniendokument den Zugriff ermöglicht, muss mindestens eine Genehmigungsrichtlinie in dem Dokument gelten, und es dürfen keine Verbotsrichtlinien gelten. Wenn keine Genehmigungsrichtlinien gelten, gelten and/or eine oder mehrere Verbotsrichtlinien, dann verweigert das Richtliniendokument den Zugriff. Wenn Sie Richtliniendokumente sowohl für die Verified Access-Gruppe als auch für den Verified Access-Endpunkt definiert haben, müssen beide Dokumente den Zugriff ermöglichen. Wenn Sie kein Richtliniendokument für den Verified Access-Endpunkt definiert haben, benötigt nur die Gruppenrichtlinie Verified Access Zugriff.
AWS Verified Access validiert die Syntax, wenn Sie die Richtlinie erstellen, validiert jedoch nicht die Daten, die Sie in die Bedingungsklausel eingegeben haben.
# Verifizierter Kurzschluss bei der Logik der Zugriffsrichtlinie
Möglicherweise möchten Sie eine AWS Verified Access Richtlinie schreiben, die Daten auswertet, die in einem bestimmten Kontext möglicherweise vorhanden sind oder nicht. Wenn Sie Daten in einem Kontext referenzieren, der nicht existiert, gibt Cedar einen Fehler aus und bewertet die Richtlinie, um den Zugriff zu verweigern, unabhängig von Ihrer Absicht. Dies würde zum Beispiel zu einer Ablehnung führen, da sie in diesem Kontext `bogus_key` nicht existieren `fake_provider` und nicht existieren.
```
permit(principal, action, resource) when {
context.fake_provider.bogus_key > 42
};
```
Um diese Situation zu vermeiden, können Sie mithilfe des `has` Operators überprüfen, ob ein Schlüssel vorhanden ist. Wenn der `has` Operator „Falsch“ zurückgibt, wird die weitere Auswertung der verketteten Anweisung angehalten, und Cedar gibt beim Versuch, auf ein Element zu verweisen, das nicht existiert, keinen Fehler aus.
```
permit(principal, action, resource) when {
context.identity.user has "some_key" && context.identity.user.some_key > 42
};
```
Dies ist besonders nützlich, wenn Sie eine Richtlinie angeben, die auf zwei verschiedene Vertrauensanbieter verweist.
```
permit(principal, action, resource) when {
// user is in an allowed group
context.aws_idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&&(
(
// if CrowdStrike data is present,
// permit if CrowdStrike's overall assessment is over 50
context has "crowdstrike" && context.crowdstrike.assessment.overall > 50
)
||
(
// if Jamf data is present,
// permit if Jamf's risk score is acceptable
context has "jamf" && ["LOW", "NOT_APPLICABLE", "MEDIUM", "SECURE"].contains(context.jamf.risk)
)
)
};
```
# Beispielrichtlinien für verifizierten Zugriff
Sie können Richtlinien für verifizierten Zugriff verwenden, um bestimmten Benutzern und Geräten Zugriff auf Ihre Anwendungen zu gewähren.
**Topics**
+ [Beispiel 1: Gewähren Sie einer Gruppe im IAM Identity Center Zugriff](#example-policy-iam-identity-center)
+ [Beispiel 2: Gewähren Sie Zugriff auf eine Gruppe bei einem Drittanbieter](#example-policy-oidc-provider)
+ [Beispiel 3: Zugriff gewähren mit CrowdStrike](#example-policy-crowdstrike)
+ [Beispiel 4: Eine bestimmte IP-Adresse zulassen oder verweigern](#example-policy-ip-address)
## Beispiel 1: Gewähren Sie einer Gruppe im IAM Identity Center Zugriff
Bei der Verwendung AWS IAM Identity Center ist es besser, Gruppen mit ihren IDs zu bezeichnen. Auf diese Weise können Sie vermeiden, dass gegen eine Richtlinienaussage verstoßen wird, wenn Sie den Namen der Gruppe ändern.
Die folgende Beispielrichtlinie ermöglicht den Zugriff nur Benutzern in der angegebenen Gruppe mit einer verifizierten E-Mail-Adresse. Die Gruppen-ID lautetc242c5b0-6081-1845-6fa8-6e0d9513c107.
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
};
```
Die folgende Beispielrichtlinie erlaubt den Zugriff nur, wenn sich der Benutzer in der angegebenen Gruppe befindet, der Benutzer über eine verifizierte E-Mail-Adresse verfügt und die Geräterisikobewertung von Jamf lautet`LOW`.
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
&& context.jamf.risk == "LOW"
};
```
Weitere Informationen zu den Vertrauensdaten finden Sie unter[AWS IAM Identity Center Kontext für Vertrauensdaten von Verified Access](trust-data-iam.md).
## Beispiel 2: Gewähren Sie Zugriff auf eine Gruppe bei einem Drittanbieter
Die folgende Beispielrichtlinie erlaubt den Zugriff nur, wenn sich der Benutzer in der angegebenen Gruppe befindet, der Benutzer über eine verifizierte E-Mail-Adresse verfügt und der Jamf-Geräterisiko-Score NIEDRIG ist. Der Name der Gruppe lautet „Finanzen“.
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups.contains("finance")
&& context.policy-reference-name.email_verified == true
&& context.jamf.risk == "LOW"
};
```
Weitere Hinweise zu den Vertrauensdaten finden Sie unter[Kontext eines Drittanbieter-Vertrauensanbieters für Vertrauensdaten mit verifiziertem Zugriff](trust-data-third-party-trust.md).
## Beispiel 3: Zugriff gewähren mit CrowdStrike
Die folgende Beispielrichtlinie ermöglicht den Zugriff, wenn die Gesamtpunktzahl der Bewertung höher als 50 ist.
```
permit(principal,action,resource)
when {
context.crwd.assessment.overall > 50
};
```
## Beispiel 4: Eine bestimmte IP-Adresse zulassen oder verweigern
Die folgende Beispielrichtlinie erlaubt HTTP-Anfragen von der angegebenen IP-Adresse aus.
```
permit(principal, action, resource)
when {
context.http_request.client_ip == "192.0.2.1"
};
```
Die folgende Beispielrichtlinie lehnt HTTP-Anfragen von der angegebenen IP-Adresse ab.
```
forbid(principal,action,resource)
when {
ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32"))
};
```
Die folgende Beispielrichtlinie erlaubt TCP-Anfragen von der angegebenen IP-Adresse.
```
permit(principal, action, resource)
when {
context.tcp_flow.client_ip == "192.0.2.1"
};
```
# Assistent für verifizierte Zugriffsrichtlinien
Der Richtlinienassistent für verifizierten Zugriff ist ein Tool in der Verified Access-Konsole, mit dem Sie Ihre Richtlinien testen und entwickeln können. Er zeigt die Endpunktrichtlinie, die Gruppenrichtlinie und den Vertrauenskontext auf einem Bildschirm an, auf dem Sie die Richtlinien testen und bearbeiten können.
Die Formate des Vertrauenskontextes variieren je nach Vertrauensanbieter, und manchmal weiß der Administrator für verifizierten Zugriff möglicherweise nicht genau, welches Format ein bestimmter Vertrauensanbieter verwendet. Aus diesem Grund kann es für Test- und Entwicklungszwecke sehr hilfreich sein, den Vertrauenskontext und sowohl die Gruppen- als auch die Endpunktrichtlinien an einem Ort zu sehen.
In den folgenden Abschnitten werden die Grundlagen der Verwendung des Policy-Editors beschrieben.
**Topics**
+ [Schritt 1: Geben Sie Ihre Ressourcen an](#specify-resources)
+ [Schritt 2: Richtlinien testen und bearbeiten](#test-and-edit)
+ [Schritt 3: Überprüfen und übernehmen Sie die Änderungen](#review-and-commit)
## Schritt 1: Geben Sie Ihre Ressourcen an
Auf der ersten Seite des Richtlinienassistenten geben Sie den Verified Access-Endpunkt an, mit dem Sie arbeiten möchten. Sie geben auch einen Benutzer (identifiziert durch eine E-Mail-Adresse) und optional den Namen des Benutzers und and/or eine Gerätekennung an. Standardmäßig wird die neueste Autorisierungsentscheidung aus den Verified Access-Protokollen für den angegebenen Benutzer extrahiert. Sie können optional die neueste Entscheidung zum Zulassen *oder* Verweigern speziell auswählen.
Schließlich werden der Vertrauenskontext, die Autorisierungsentscheidung, die Endpunktrichtlinie und die Gruppenrichtlinie auf dem nächsten Bildschirm angezeigt.
**Um den Richtlinienassistenten zu öffnen und Ihre Ressourcen anzugeben**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus und klicken Sie dann auf die **Verified Access-Instanz-ID** für die Instanz, mit der Sie arbeiten möchten.
1. Wählen Sie **Policy Assistant starten** aus.
1. Geben Sie unter **Benutzer-E-Mail-Adresse** die E-Mail-Adresse des Benutzers ein.
1. Wählen Sie **unter Verified Access-Endpunkt** den Endpunkt aus, für den Sie Richtlinien bearbeiten und testen möchten.
1. (Optional) Geben Sie unter **Name** den Namen des Benutzers ein.
1. (Optional) Geben Sie unter **Gerätekennung** die eindeutige Gerätekennung ein.
1. (Optional) Wählen Sie unter **Autorisierungsergebnis** den Typ des letzten Autorisierungsergebnisses aus, das Sie verwenden möchten. Standardmäßig wird das neueste Autorisierungsergebnis verwendet.
1. Wählen Sie **Weiter** aus.
## Schritt 2: Richtlinien testen und bearbeiten
Auf dieser Seite werden Ihnen die folgenden Informationen angezeigt, mit denen Sie arbeiten können:
+ Der Vertrauenskontext, der von Ihrem Vertrauensanbieter für den Benutzer und (optional) das Gerät gesendet wurde, das Sie im vorherigen Schritt angegeben haben.
+ Die Cedar-Richtlinie für den Verified Access-Endpunkt, die im vorherigen Schritt angegeben wurde.
+ Die Cedar-Richtlinie für die Verified Access-Gruppe, zu der der Endpunkt gehört.
Die Cedar-Richtlinien für den Verified Access-Endpunkt und die Gruppe können auf dieser Seite bearbeitet werden, aber der Vertrauenskontext ist statisch. Sie können diese Seite jetzt verwenden, um den Vertrauenskontext zusammen mit den Cedar-Richtlinien anzuzeigen.
Testen Sie die Richtlinien anhand des Vertrauenskontextes, indem Sie auf die Schaltfläche **Richtlinien testen** klicken. Das Autorisierungsergebnis wird dann auf dem Bildschirm angezeigt. Sie können Änderungen an den Richtlinien vornehmen und Ihre Änderungen erneut testen und den Vorgang bei Bedarf wiederholen.
Wenn Sie mit den an den Richtlinien vorgenommenen Änderungen zufrieden sind, wählen Sie **Weiter**, um zum nächsten Bildschirm des Richtlinienassistenten zu gelangen.
## Schritt 3: Überprüfen und übernehmen Sie die Änderungen
Auf der letzten Seite des Richtlinienassistenten werden die Änderungen, die Sie an den Richtlinien vorgenommen haben, zur leichteren Überprüfung hervorgehoben. Sie können sie nun ein letztes Mal überprüfen und dann **auf Änderungen anwenden klicken**, um die Änderungen zu übernehmen.
**Sie haben auch die Möglichkeit, zur vorherigen Seite zurückzukehren, indem Sie Zurück wählen, oder den Richtlinienassistenten vollständig zu beenden, indem Sie **Abbrechen** wählen.**