Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern des Zugriffs auf Policy Store-Aliase
Prinzipale, die Policy-Store-Aliase verwalten, müssen berechtigt sein, mit diesen Policy-Store-Aliasnamen und bei einigen Vorgängen auch mit dem Policy-Store, dem der Policy-Store-Alias zugeordnet ist, zu interagieren. Sie können diese Berechtigungen mithilfe von Richtlinien erteilen. IAM
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die zum Erstellen und Verwalten von Policy-Store-Aliasen erforderlich sind.
## verifizierte Berechtigungen: CreatePolicyStoreAlias
Um einen Richtlinienspeicher-Alias zu erstellen, benötigt der Principal die folgenden Berechtigungen sowohl für den Richtlinienspeicher-Alias als auch für den zugehörigen Richtlinienspeicher.
+ `verifiedpermissions:CreatePolicyStoreAlias`für den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie ein, die dem Prinzipal zugeordnet ist, der den Policy Store-Alias erstellen darf.
Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias für den Richtlinienspeicher in einem `Resource` Element an. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. `"sample*"` B. Sie können auch den `Resource` Wert von angeben`"*"`, damit der Prinzipal einen beliebigen Policy-Store-Alias in der Region AWS-Konto und erstellen kann.
```
{
"Sid": "IAMPolicyForCreateAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:CreatePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
+ `verifiedpermissions:CreatePolicyStoreAlias`für den zugehörigen Richtlinienspeicher. Diese Genehmigung muss in einer IAM Richtlinie bereitgestellt werden.
```
{
"Sid": "PolicyStorePermissionForAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:CreatePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```
## verifizierte Berechtigungen: GetPolicyStoreAlias
Um Details zu einem bestimmten Policy-Store-Alias abzurufen, muss der Principal über die `verifiedpermissions:GetPolicyStoreAlias` Berechtigung für den Policy-Store-Alias in einer Richtlinie verfügen. IAM
Die folgende Beispiel-Richtlinienanweisung erteilt dem Principal die Erlaubnis, einen bestimmten Policy-Store-Alias abzurufen.
```
{
"Sid": "IAMPolicyForGetAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
## verifizierte Berechtigungen: ListPolicyStoreAliases
Um Policy-Store-Aliase in der Region AWS-Konto und aufzulisten, muss der Principal über die entsprechenden Rechte in einer Richtlinie verfügen`verifiedpermissions:ListPolicyStoreAliases`. IAM Da sich diese Richtlinie nicht auf eine bestimmte Richtlinienspeicher- oder Richtlinienspeicher-Aliasressource bezieht, muss `"*"` der Wert des Ressourcenelements in der Richtlinie
Die folgende IAM Richtlinienanweisung erteilt dem Prinzipal beispielsweise die Erlaubnis, alle Policy-Store-Aliase in der AWS-Konto aufzulisten.
```
{
"Sid": "IAMPolicyForListingAliases",
"Effect": "Allow",
"Action": "verifiedpermissions:ListPolicyStoreAliases",
"Resource": "*"
}
```
## verifizierte Berechtigungen: DeletePolicyStoreAlias
Um einen Policy Store-Alias zu löschen, benötigt der Principal nur die Erlaubnis für den Policy-Store-Alias.
**Anmerkung**
Das Löschen eines Policy Store-Alias hat keine Auswirkungen auf den zugehörigen Policy-Store, obwohl Anwendungen, die auf den Policy Store-Alias verweisen, Fehler erhalten. Wenn Sie versehentlich einen Policy Store-Alias löschen, können Sie ihn nach Ablauf des Reservierungszeitraums von 24 Stunden erneut erstellen.
Der Principal benötigt die `verifiedpermissions:DeletePolicyStoreAlias` Erlaubnis für den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie an, die dem Prinzipal zugeordnet ist, der den Policy-Store-Alias löschen darf.
In der folgenden Beispiel-Richtlinienanweisung wird der Alias des Richtlinienspeichers in einem `Resource` Element angegeben. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. `"sample*"` B. Sie können auch den `Resource` Wert von angeben`"*"`, damit der Prinzipal alle Policy-Store-Alias in der Region AWS-Konto und löschen kann.
```
{
"Sid": "IAMPolicyForDeleteAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:DeletePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
## Beschränken der Aliasberechtigungen für den Richtlinienspeicher
Sie können einen Richtlinienspeicher-Alias verwenden, um bei jedem Vorgang, der ein `policyStoreId` Feld als Eingabe akzeptiert, auf einen Richtlinienspeicher zu verweisen. Wenn Sie dies tun, autorisiert `verifiedpermissions:GetPolicyStoreAlias` Amazon Verified Permissions den Alias des Richtlinienspeichers und den angeforderten Vorgang anhand des zugehörigen Policy-Speichers.
Wenn der `IsAuthorized` Vorgang beispielsweise unter Verwendung eines Policy Store-Alias ausgeführt wird, benötigt der Principal beides:
+ `verifiedpermissions:GetPolicyStoreAlias`Berechtigung für den Policy Store-Alias
+ `verifiedpermissions:IsAuthorized`Erlaubnis für den zugehörigen Richtlinienspeicher
Die folgende Beispielrichtlinie erteilt die Berechtigung zum Aufrufen `IsAuthorized` unter Verwendung eines bestimmten Richtlinienspeicher-Alias.
```
{
"Sid": "IAMPolicyForAliasUsage",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
"Sid": "IAMPolicyForPolicyStoreOperation",
"Effect": "Allow",
"Action": "verifiedpermissions:IsAuthorized",
"Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```
Um einzuschränken, welche Policy-Speicher-Aliase ein Principal verwenden kann, schränken Sie die `verifiedpermissions:GetPolicyStoreAlias` Berechtigung ein. Die folgende Richtlinie ermöglicht es dem Prinzipal beispielsweise, alle Aliasnamen für den Richtlinienspeicher zu verwenden, mit Ausnahme derjenigen, die mit `Restricted` beginnen.
```
{
"Sid": "IAMPolicyForAliasAllow",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
"Sid": "IAMPolicyForAliasDeny",
"Effect": "Deny",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}
```