Richtlinien für verifizierte Berechtigungen von Amazon - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für verifizierte Berechtigungen von Amazon

Eine Richtlinie ist eine Erklärung, die einem Auftraggeber entweder erlaubt oder verbietet, eine oder mehrere Maßnahmen an einer Ressource durchzuführen. Jede Richtlinie wird unabhängig von allen anderen Richtlinien bewertet. Weitere Informationen darüber, wie die Richtlinien von Cedar strukturiert und bewertet werden, finden Sie unter Überprüfung der Cedar-Richtlinien anhand des Schemas im Referenzhandbuch zur Sprache der Cedar-Richtlinien.

Sie können einer Richtlinie optional einen Richtliniennamen zuweisen. Richtliniennamen müssen für alle Richtlinien innerhalb des Richtlinienspeichers eindeutig sein und mit name/ dem Präfix versehen sein. Bei Operationen auf Steuerungsebene, die einen policyId Parameter akzeptieren, können Sie anstelle der Richtlinien-ID einen Richtliniennamen verwenden. Im folgenden Beispiel wird ein Richtlinienname verwendet, mit dem eine Richtlinie abgerufen wirdGetPolicy.

$ aws verifiedpermissions get-policy \
    --policy-id name/example-policy \
    --policy-store-id PSEXAMPLEabcdefg111111
Wichtig

Wenn Sie Cedar-Richtlinien schreiben, die auf Prinzipale, Ressourcen und Aktionen verweisen, können Sie die eindeutigen Identifikatoren definieren, die für jedes dieser Elemente verwendet werden. Wir empfehlen Ihnen dringend, die folgenden Best Practices zu befolgen:

  • Verwenden Sie universell eindeutige Bezeichner (UUIDs) für alle Haupt- und Ressourcen-Identifikatoren.

    Wenn beispielsweise ein Benutzer das Unternehmen jane verlässt und Sie später einer anderen Person die Verwendung des Namens gestattenjane, erhält dieser neue Benutzer automatisch Zugriff auf alles, was durch Richtlinien gewährt wird, auf die immer noch verwiesen wird. User::"jane" Cedar kann nicht zwischen dem neuen und dem alten Benutzer unterscheiden. Dies gilt sowohl für Prinzipal- als auch für Ressourcen-IDs. Verwenden Sie immer Identifikatoren, die garantiert einzigartig sind und niemals wiederverwendet werden, um sicherzustellen, dass Sie nicht versehentlich Zugriff gewähren, weil eine Richtlinie eine alte Kennung enthält.

    Wenn Sie eine UUID für eine Entität verwenden, empfehlen wir, dass Sie ihr den Kommentarbezeichner//und den „freundlichen“ Namen Ihrer Entität folgen. Dies trägt dazu bei, dass Ihre Richtlinien leichter verständlich sind. Zum Beispiel: principal == Role: :"a1b2c3d4-e5f6-a1b2-c3d4- „,//Administratoren EXAMPLE11111

  • Nehmen Sie keine personenbezogenen, vertraulichen oder sensiblen Informationen als Teil der eindeutigen Kennung für Ihre Prinzipale oder Ressourcen auf. Diese Kennungen sind in Protokolleinträgen enthalten, die in Trails geteilt werden. AWS CloudTrail

Themen