View a markdown version of this page

Steuern des Zugriffs auf Policy Store-Aliase - Amazon Verified Permissions
verifizierte Berechtigungen: CreatePolicyStoreAliasverifizierte Berechtigungen: GetPolicyStoreAliasverifizierte Berechtigungen: ListPolicyStoreAliasesverifizierte Berechtigungen: DeletePolicyStoreAliasBeschränken der Aliasberechtigungen für den Richtlinienspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs auf Policy Store-Aliase

Prinzipale, die Policy-Store-Aliase verwalten, müssen berechtigt sein, mit diesen Policy-Store-Aliasnamen und bei einigen Vorgängen auch mit dem Policy-Store, dem der Policy-Store-Alias zugeordnet ist, zu interagieren. Sie können diese Berechtigungen mithilfe von Richtlinien erteilen. IAM

In den folgenden Abschnitten werden die Berechtigungen beschrieben, die zum Erstellen und Verwalten von Policy-Store-Aliasen erforderlich sind.

verifizierte Berechtigungen: CreatePolicyStoreAlias

Um einen Richtlinienspeicher-Alias zu erstellen, benötigt der Principal die folgenden Berechtigungen sowohl für den Richtlinienspeicher-Alias als auch für den zugehörigen Richtlinienspeicher.

  • verifiedpermissions:CreatePolicyStoreAliasfür den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie ein, die dem Prinzipal zugeordnet ist, der den Policy Store-Alias erstellen darf.

    Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias für den Richtlinienspeicher in einem Resource Element an. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. "sample*" B. Sie können auch den Resource Wert von angeben"*", damit der Prinzipal einen beliebigen Policy-Store-Alias in der Region AWS-Konto und erstellen kann.

    {
  "Sid": "IAMPolicyForCreateAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

  • verifiedpermissions:CreatePolicyStoreAliasfür den zugehörigen Richtlinienspeicher. Diese Genehmigung muss in einer IAM Richtlinie bereitgestellt werden.

    {
  "Sid": "PolicyStorePermissionForAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

verifizierte Berechtigungen: GetPolicyStoreAlias

Um Details zu einem bestimmten Policy-Store-Alias abzurufen, muss der Principal über die verifiedpermissions:GetPolicyStoreAlias Berechtigung für den Policy-Store-Alias in einer Richtlinie verfügen. IAM

Die folgende Beispiel-Richtlinienanweisung erteilt dem Principal die Erlaubnis, einen bestimmten Policy-Store-Alias abzurufen.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

verifizierte Berechtigungen: ListPolicyStoreAliases

Um Policy-Store-Aliase in der Region AWS-Konto und aufzulisten, muss der Principal über die entsprechenden Rechte in einer Richtlinie verfügenverifiedpermissions:ListPolicyStoreAliases. IAM Da sich diese Richtlinie nicht auf eine bestimmte Richtlinienspeicher- oder Richtlinienspeicher-Aliasressource bezieht, muss "*" der Wert des Ressourcenelements in der Richtlinie

Die folgende IAM Richtlinienanweisung erteilt dem Prinzipal beispielsweise die Erlaubnis, alle Policy-Store-Aliase in der AWS-Konto aufzulisten.

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

verifizierte Berechtigungen: DeletePolicyStoreAlias

Um einen Policy Store-Alias zu löschen, benötigt der Principal nur die Erlaubnis für den Policy-Store-Alias.

Anmerkung

Das Löschen eines Policy Store-Alias hat keine Auswirkungen auf den zugehörigen Policy-Store, obwohl Anwendungen, die auf den Policy Store-Alias verweisen, Fehler erhalten. Wenn Sie versehentlich einen Policy Store-Alias löschen, können Sie ihn nach Ablauf des Reservierungszeitraums von 24 Stunden erneut erstellen.

Der Principal benötigt die verifiedpermissions:DeletePolicyStoreAlias Erlaubnis für den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie an, die dem Prinzipal zugeordnet ist, der den Policy-Store-Alias löschen darf.

In der folgenden Beispiel-Richtlinienanweisung wird der Alias des Richtlinienspeichers in einem Resource Element angegeben. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. "sample*" B. Sie können auch den Resource Wert von angeben"*", damit der Prinzipal alle Policy-Store-Alias in der Region AWS-Konto und löschen kann.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Beschränken der Aliasberechtigungen für den Richtlinienspeicher

Sie können einen Richtlinienspeicher-Alias verwenden, um bei jedem Vorgang, der ein policyStoreId Feld als Eingabe akzeptiert, auf einen Richtlinienspeicher zu verweisen. Wenn Sie dies tun, autorisiert verifiedpermissions:GetPolicyStoreAlias Amazon Verified Permissions den Alias des Richtlinienspeichers und den angeforderten Vorgang anhand des zugehörigen Policy-Speichers.

Wenn der IsAuthorized Vorgang beispielsweise unter Verwendung eines Policy Store-Alias ausgeführt wird, benötigt der Principal beides:

  • verifiedpermissions:GetPolicyStoreAliasBerechtigung für den Policy Store-Alias

  • verifiedpermissions:IsAuthorizedErlaubnis für den zugehörigen Richtlinienspeicher

Die folgende Beispielrichtlinie erteilt die Berechtigung zum Aufrufen IsAuthorized unter Verwendung eines bestimmten Richtlinienspeicher-Alias.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

Um einzuschränken, welche Policy-Speicher-Aliase ein Principal verwenden kann, schränken Sie die verifiedpermissions:GetPolicyStoreAlias Berechtigung ein. Die folgende Richtlinie ermöglicht es dem Prinzipal beispielsweise, alle Aliasnamen für den Richtlinienspeicher zu verwenden, mit Ausnahme derjenigen, die mit Restricted beginnen.

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}