Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aliasnamen der Amazon-Richtlinie „Verified Permissions“ speichern
Ein Policy Store-Alias ist ein benutzerfreundlicher Name für einen Policy Store. Mit Aliasnamen für Richtlinienspeicher können Sie beispielsweise auf einen Richtlinienspeicher verweisen, indem Sie `policy-store-alias/example-policy-store` anstelle von`PSEXAMPLEabcdefg111111`. Aliase für Richtlinienspeicher können in jedem Vorgang mit verifizierten Berechtigungen verwendet werden, der einen `policyStoreId` Eingabeparameter akzeptiert.
Sie können mithilfe der `CreatePolicyStoreAlias` API oder mithilfe der `AWS::VerifiedPermissions::PolicyStoreAlias` CloudFormation Ressource einen Richtlinienspeicher-Alias für einen Richtlinienspeicher erstellen.
Die Amazon Verified Permissions API bietet die volle Kontrolle über die Policy-Store-Aliase in jeder AWS-Konto Region. Die API umfasst Operationen zum Erstellen eines Policy-Store-Alias (`CreatePolicyStoreAlias`), zum Anzeigen von Policy-Store-Aliasnamen und Policy-Store-Alias ARNs (`GetPolicyStoreAlias`,`ListPolicyStoreAliases`) und zum Löschen eines Policy-Store-Alias (`DeletePolicyStoreAlias`).
**Topics**
+ [Eigenschaften von Policy-Store-Aliasen](#alias-properties)
+ [Aliasnamen für Amazon Verified Permissions Policy erstellen](policy-store-aliases-create.md)
+ [Aliasnamen für Amazon Verified Permissions Policy Store werden abgerufen](policy-store-aliases-retrieve.md)
+ [Löschen von Aliasnamen für Amazon Verified Permissions Policy Store](policy-store-aliases-delete.md)
+ [Verwendung von Aliasnamen für den Richtlinienspeicher von Amazon Verified Permissions in API-Vorgängen](policy-store-aliases-using.md)
+ [Steuern des Zugriffs auf Policy Store-Aliase](policy-store-aliases-control-access.md)
## Eigenschaften von Policy-Store-Aliasen
So funktionieren Policy-Store-Aliase in Amazon Verified Permissions.
**Ein Policy Store-Alias ist eine unabhängige Ressource AWS**
Ein Policy Store-Alias ist kein Eigentum eines Policy Stores. Die Aktionen, die Sie für den Policy Store-Alias ausführen, wirken sich nicht auf den zugehörigen Policy-Store aus. Sie können den Alias des Richtlinienspeichers löschen, ohne dass dies Auswirkungen auf den zugehörigen Richtlinienspeicher hat. Wenn Sie einen Richtlinienspeicher löschen, werden auch alle mit diesem Richtlinienspeicher verknüpften Richtlinienspeicher-Aliase gelöscht.
Jeder Policy Store-Alias hat einen Amazon-Ressourcennamen (ARN), der den Policy Store-Alias eindeutig identifiziert. Wenn Sie in einer IAM-Richtlinie einen Policy Store-Alias als Ressource angeben, bezieht sich die Richtlinie auf den Policy-Store-Alias, nicht auf den zugehörigen Policy-Store.
**Jeder Policy Store-Alias hat zwei Formate**
Wenn Sie einen Policy Store-Alias erstellen, geben Sie den Aliasnamen des Policy-Speichers an. Amazon Verified Permissions erstellt den Policy Store-Alias ARN für Sie.
+ Ein Policy Store-Alias ARN ist ein Amazon-Ressourcenname (ARN), der den Policy Store-Alias eindeutig identifiziert.
```
# Alias ARN
arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store
```
+ Ein Aliasname für den Richtlinienspeicher, der in der Region AWS-Konto und eindeutig ist. In der Amazon Verified Permissions API wird dem Aliasnamen des Policy Stores immer das Präfix `policy-store-alias/` vorangestellt.
```
# Alias name
policy-store-alias/example-policy-store
```
**Policy Store-Aliase sind nicht geheim**
Aliase für Richtlinienspeicher können in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Aliasnamen des Richtlinienspeichers auf.
**Jeder Richtlinienspeicher-Alias ist jeweils einem Richtlinienspeicher zugeordnet**
Der Alias für den Richtlinienspeicher und der zugehörige Richtlinienspeicher müssen zu derselben AWS-Konto Region gehören. Sie können jedem Policy-Store in derselben AWS-Konto Region einen Policy Store-Alias zuordnen.
Diese `ListPolicyStoreAliases` Ausgabe zeigt beispielsweise, dass der `example-policy-store` Policy-Store-Alias genau einem Zielrichtlinienspeicher zugeordnet ist, der durch die `policyStoreId` Eigenschaft repräsentiert wird.
```
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00",
"state": "Active"
}
```
**Diesem Richtlinienspeicher können mehrere Aliase zugeordnet werden**
Sie können beispielsweise die `example-policy-store-2` Aliase `example-policy-store` und demselben Richtlinienspeicher zuordnen.
```
[
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00",
"state": "Active"
},
{
"aliasName": "policy-store-alias/example-policy-store-2",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
"createdAt": "2024-01-16T09:15:00.000000+00:00",
"state": "Active"
}
]
```
**Ein Policy Store-Alias muss in einer AWS-Konto UND-Region eindeutig sein**
Sie können beispielsweise nur einen Policy Store-Alias mit dem Namen `example-policy-store` in jeder Region AWS-Konto und jeder Region haben. Bei Aliasnamen für Richtlinienspeicher wird zwischen Groß- und Kleinschreibung unterschieden. Sie können den Aliasnamen eines Richtlinienspeichers nicht ändern. Sie können den Policy Store-Alias jedoch löschen und nach Ablauf des 24-stündigen Reservierungszeitraums einen neuen Policy Store-Alias mit dem gewünschten Namen erstellen.
Sie können in verschiedenen Regionen Aliase für Richtlinienspeicher mit demselben Namen erstellen. Jeder Policy Store-Alias hat einen eindeutigen ARN. Wenn sich Ihr Code auf einen Aliasnamen wie für einen Policy Store bezieht`policy-store-alias/example-policy-store`, können Sie ihn in mehreren Regionen ausführen. In jeder Region wird ein anderer Richtlinienspeicher verwendet.
**Aliase für den Richtlinienspeicher werden vorübergehend gelöscht**
Wenn ein Policy Store-Alias gelöscht wird, wird der Policy Store-Aliasname für einen Zeitraum von 24 Stunden reserviert. Wenn Sie während dieses Zeitraums versuchen, einen Policy Store-Alias mit demselben Namen zu erstellen, wird die Anfrage abgelehnt. Während dieses Zeitraums wird der Policy Store-Alias mit dem `PendingDeletion` Status `GetPolicyStoreAlias` zurückgegeben.
**Sie können Aliase verwenden, um Policy Stores zu identifizieren**
Sie können einen Richtlinienspeicher-Alias verwenden, um einen Richtlinienspeicher bei allen Vorgängen zu identifizieren, die eine akzeptieren `policyStoreId` (z. B.`IsAuthorized`). In solchen Fällen muss dem Aliasnamen des Richtlinienspeichers ein Präfix vorangestellt werden. `policy-store-alias/` Richtlinienspeicher-Aliase können nicht verwendet werden, um einen Richtlinienspeicher für den `DeletePolicyStore` Vorgang zu identifizieren.
Sie können einen Policy-Store-Aliasnamen oder einen Policy-Store-Alias-Alias-ARN nicht verwenden, um einen Richtlinienspeicher im `Resource` Element einer IAM-Richtlinie zu identifizieren. Informationen zur Steuerung des Zugriffs auf einen Richtlinienspeicher, wenn er über einen Policy Store-Alias referenziert wird, finden Sie unter[Steuern des Zugriffs auf Policy Store-Aliase](policy-store-aliases-control-access.md).
# Aliasnamen für Amazon Verified Permissions Policy erstellen
Sie können einen Policy Store-Alias erstellen, um mit einem benutzerfreundlichen Namen auf einen Policy Store zu verweisen. Der Name eines Policy Store-Alias muss für jede Region AWS-Konto eindeutig sein. Aliase für Richtlinienspeicher dürfen nur Richtlinienspeichern zugeordnet werden, die derselben Region gehören AWS-Konto und in derselben Region aktiv sind wie der Richtlinienspeicher-Alias. Policy-Store-Aliase sind separate Ressourcen mit eigener Autorisierung ARNs und IAM-Autorisierung.
Standardmäßig können nur 10 Policy-Store-Aliase demselben Richtlinienspeicher zugeordnet werden.
**Anmerkung**
`CreatePolicyStoreAlias`ist idempotent. Wenn Sie den `CreatePolicyStoreAlias` Vorgang mit einem Aliasnamen und einer Richtlinienspeicher-ID aufrufen, die mit einem vorhandenen Richtlinienspeicher-Alias übereinstimmen, ist der `CreatePolicyStoreAlias` Vorgang erfolgreich und der vorhandene Richtlinienspeicher-Alias wird zurückgegeben. Wenn Sie den `CreatePolicyStoreAlias` Vorgang jedoch mit einem vorhandenen Richtlinienspeicher-Aliasnamen, aber einer anderen Richtlinienspeicher-ID aufrufen, gibt der Vorgang a `ConflictException` zurück.
------
#### [ AWS CLI ]
**Um einen Alias für den Richtlinienspeicher zu erstellen**
Mithilfe des [CreatePolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreatePolicyStoreAlias.html)Vorgangs können Sie einen Alias für den Richtlinienspeicher erstellen. Im folgenden Beispiel wird ein Policy Store-Alias mit dem Namen erstellt`example-policy-store`.
```
$ aws verifiedpermissions create-policy-store-alias \
--alias-name policy-store-alias/example-policy-store \
--policy-store-id PSEXAMPLEabcdefg111111
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00"
}
```
------
# Aliasnamen für Amazon Verified Permissions Policy Store werden abgerufen
Sie können Informationen über Richtlinienspeicher-Aliase abrufen, indem Sie den `GetPolicyStoreAlias` Vorgang zum Abrufen von Details zu einem bestimmten Richtlinienspeicher-Alias oder den `ListPolicyStoreAliases` Vorgang zum Auflisten aller Richtlinienspeicher-Aliase in Ihrer Region und Ihrer AWS-Konto Region verwenden.
## Einen Policy Store-Alias abrufen
Verwenden Sie den `GetPolicyStoreAlias` Vorgang, um Details zu einem bestimmten Policy-Store-Alias abzurufen, einschließlich der zugehörigen Policy-Store-ID.
------
#### [ AWS CLI ]
**Um Details zu einem Policy Store-Alias abzurufen**
Sie können einen Policy Store-Alias mithilfe des [GetPolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_GetPolicyStoreAlias.html)Vorgangs abrufen. Im folgenden Beispiel werden Details für einen Policy Store-Alias mit dem Namen `example-policy-store` abgerufen.
```
$ aws verifiedpermissions get-policy-store-alias \
--alias-name policy-store-alias/example-policy-store
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00",
"state": "Active"
}
```
------
## Policy-Store-Aliase werden aufgelistet
Verwenden Sie diesen `ListPolicyStoreAliases` Vorgang, um alle Policy-Store-Aliase in Ihrer Region AWS-Konto und in Ihrer Region aufzulisten. Sie können den `filter` Parameter verwenden, um nur Richtlinienspeicher-Aliase aufzulisten, die einem bestimmten Richtlinienspeicher zugeordnet sind.
------
#### [ AWS CLI ]
**Um alle Aliase für den Richtlinienspeicher aufzulisten**
Mithilfe des Vorgangs können Sie Aliase für Richtlinienspeicher auflisten. [ListPolicyStoreAliases](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_ListPolicyStoreAliases.html) Das folgende Beispiel listet alle Policy-Store-Aliase auf, die der 123456789012 AWS-Konto in der Region us-west-2 gehören.
```
$ aws verifiedpermissions list-policy-store-aliases
{
"policyStoreAliases": [
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00",
"state": "Active"
},
{
"aliasName": "policy-store-alias/example-policy-store-2",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
"createdAt": "2024-01-16T09:15:00.000000+00:00",
"state": "Active"
},
{
"aliasName": "policy-store-alias/example-policy-store-3",
"policyStoreId": "PSEXAMPLEabcdefg222222",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-3",
"createdAt": "2024-01-17T14:45:00.000000+00:00",
"state": "Active"
}
]
}
```
**Um die Aliase des Richtlinienspeichers für einen bestimmten Richtlinienspeicher aufzulisten**
Verwenden Sie den `filter` Parameter, um nur Aliase aufzulisten, die einem bestimmten Richtlinienspeicher zugeordnet sind.
```
$ aws verifiedpermissions list-policy-store-aliases \
--filter '{"policyStoreId": "PSEXAMPLEabcdefg111111"}'
{
"policyStoreAliases": [
{
"aliasName": "policy-store-alias/example-policy-store",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
"createdAt": "2024-01-15T12:30:00.000000+00:00",
"state": "Active"
},
{
"aliasName": "policy-store-alias/example-policy-store-2",
"policyStoreId": "PSEXAMPLEabcdefg111111",
"aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
"createdAt": "2024-01-16T09:15:00.000000+00:00",
"state": "Active"
}
]
}
```
------
# Löschen von Aliasnamen für Amazon Verified Permissions Policy Store
Sie können einen Policy Store-Alias löschen, wenn er nicht mehr benötigt wird. Das Löschen eines Richtlinienspeicher-Alias hat keine Auswirkungen auf den zugehörigen Richtlinienspeicher. Durch das Löschen eines Richtlinienspeichers werden alle mit diesem Richtlinienspeicher verknüpften Aliase gelöscht.
Nachdem Sie einen Policy-Store-Alias gelöscht haben, ist der Policy-Store-Aliasname für 24 Stunden reserviert und kann in diesem Zeitraum nicht wiederverwendet werden.
------
#### [ AWS CLI ]
**Um einen Policy Store-Alias zu löschen**
Sie können einen Policy Store-Alias mithilfe des [DeletePolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_DeletePolicyStoreAlias.html)Vorgangs löschen. Im folgenden Beispiel wird ein Policy Store-Alias mit dem Namen `example-policy-store` gelöscht.
```
$ aws verifiedpermissions delete-policy-store-alias \
--alias-name policy-store-alias/example-policy-store
```
------
# Verwendung von Aliasnamen für den Richtlinienspeicher von Amazon Verified Permissions in API-Vorgängen
Jeder Amazon Verified Permissions-Vorgang, der einen `policyStoreId` Parameter wie [IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html), und akzeptiert [IsAuthorizedWithToken[GetPolicyStore](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_GetPolicyStore.html)](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html), kann anstelle der Policy-Store-ID einen Policy Store-Aliasnamen akzeptieren.
**Wichtig**
Wenn Sie einen Policy Store-Alias als Wert eines `policyStoreId` Parameters verwenden, müssen Sie das `policy-store-alias/` Präfix angeben. Verwenden Sie beispielsweise`policy-store-alias/example-policy-store`, nicht`example-policy-store`.
## Verwenden von Policy Store-Aliasnamen in Operations
Der folgende `IsAuthorized` Befehl verwendet einen Richtlinienspeicher-Alias mit dem Namen`example-policy-store`, um einen Richtlinienspeicher zu identifizieren.
------
#### [ AWS CLI ]
```
$ aws verifiedpermissions is-authorized \
--policy-store-id policy-store-alias/example-policy-store \
--principal entityType=User,entityId=alice \
--action actionType=Action,actionId=view \
--resource entityType=Photo,entityId=photo123
```
------
**Anmerkung**
Sie können keinen Policy Store-Alias anstelle des `policyStoreId` Felds für den [DeletePolicyStore](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_DeletePolicyStore.html)Vorgang verwenden.
## Verwenden von Policy Store-Aliasnamen in Across AWS-Regionen
Eine der mächtigsten Verwendungen von Aliasen ist in Anwendungen, die in mehreren AWS-Regionen ausgeführt werden. Angenommen, Sie haben eine globale Anwendung, die in jeder Region unterschiedliche Richtlinienspeicher verwendet.
+ In us-east-1 möchten Sie verwenden. `PSEXAMPLEabcdefg111111`
+ In eu-west-1 möchten Sie verwenden. `PSEXAMPLEabcdefg222222`
Sie könnten in jeder Region eine andere Version Ihrer Anwendung erstellen oder ein Wörterbuch oder eine Switch-Anweisung verwenden, um den richtigen Richtlinienspeicher für jede Region auszuwählen. Es ist jedoch viel einfacher, in jeder Region einen Policy-Store-Aliasnamen mit demselben Policy-Store-Aliasnamen zu erstellen. Denken Sie daran, dass beim Aliasnamen des Richtlinienspeichers Groß- und Kleinschreibung beachtet wird.
------
#### [ AWS CLI ]
```
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
--alias-name policy-store-alias/my-app \
--policy-store-id PSEXAMPLEabcdefg111111
$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
--alias-name policy-store-alias/my-app \
--policy-store-id PSEXAMPLEabcdefg222222
```
------
Verwenden Sie dann den Policy Store-Alias in Ihrem Code. Wenn Ihr Code in jeder Region ausgeführt wird, verweist der Policy Store-Alias auf den zugehörigen Policy Store in dieser Region.
------
#### [ AWS CLI ]
```
$ aws verifiedpermissions is-authorized \
--policy-store-id policy-store-alias/my-app \
--principal entityType=User,entityId=alice \
--action actionType=Action,actionId=view \
--resource entityType=Photo,entityId=photo123
```
------
Es besteht jedoch das Risiko, dass der Policy Store-Alias gelöscht wird. In diesem Fall schlagen die Versuche der Anwendung, den Aliasnamen des Richtlinienspeichers zu verwenden, fehl, und Sie müssen den Policy-Store-Alias möglicherweise neu erstellen oder aktualisieren. Um dieses Risiko zu minimieren, sollten Sie vorsichtig sein, wenn Sie den Prinzipalen die Erlaubnis geben, die Policy-Speicher-Aliase zu verwalten, die Sie in Ihrer Anwendung verwenden.
# Steuern des Zugriffs auf Policy Store-Aliase
Prinzipale, die Policy-Store-Aliase verwalten, müssen berechtigt sein, mit diesen Policy-Store-Aliasnamen und bei einigen Vorgängen auch mit dem Policy-Store, dem der Policy-Store-Alias zugeordnet ist, zu interagieren. Sie können diese Berechtigungen mithilfe von Richtlinien erteilen. IAM
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die zum Erstellen und Verwalten von Policy-Store-Aliasen erforderlich sind.
## verifizierte Berechtigungen: CreatePolicyStoreAlias
Um einen Richtlinienspeicher-Alias zu erstellen, benötigt der Principal die folgenden Berechtigungen sowohl für den Richtlinienspeicher-Alias als auch für den zugehörigen Richtlinienspeicher.
+ `verifiedpermissions:CreatePolicyStoreAlias`für den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie ein, die dem Prinzipal zugeordnet ist, der den Policy Store-Alias erstellen darf.
Die folgende Beispiel-Richtlinienanweisung gibt einen bestimmten Alias für den Richtlinienspeicher in einem `Resource` Element an. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. `"sample*"` B. Sie können auch den `Resource` Wert von angeben`"*"`, damit der Prinzipal einen beliebigen Policy-Store-Alias in der Region AWS-Konto und erstellen kann.
```
{
"Sid": "IAMPolicyForCreateAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:CreatePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
+ `verifiedpermissions:CreatePolicyStoreAlias`für den zugehörigen Richtlinienspeicher. Diese Genehmigung muss in einer IAM Richtlinie bereitgestellt werden.
```
{
"Sid": "PolicyStorePermissionForAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:CreatePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```
## verifizierte Berechtigungen: GetPolicyStoreAlias
Um Details zu einem bestimmten Policy-Store-Alias abzurufen, muss der Principal über die `verifiedpermissions:GetPolicyStoreAlias` Berechtigung für den Policy-Store-Alias in einer Richtlinie verfügen. IAM
Die folgende Beispiel-Richtlinienanweisung erteilt dem Principal die Erlaubnis, einen bestimmten Policy-Store-Alias abzurufen.
```
{
"Sid": "IAMPolicyForGetAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
## verifizierte Berechtigungen: ListPolicyStoreAliases
Um Policy-Store-Aliase in der Region AWS-Konto und aufzulisten, muss der Principal über die entsprechenden Rechte in einer Richtlinie verfügen`verifiedpermissions:ListPolicyStoreAliases`. IAM Da sich diese Richtlinie nicht auf eine bestimmte Richtlinienspeicher- oder Richtlinienspeicher-Aliasressource bezieht, muss `"*"` der Wert des Ressourcenelements in der Richtlinie
Die folgende IAM Richtlinienanweisung erteilt dem Prinzipal beispielsweise die Erlaubnis, alle Policy-Store-Aliase in der AWS-Konto aufzulisten.
```
{
"Sid": "IAMPolicyForListingAliases",
"Effect": "Allow",
"Action": "verifiedpermissions:ListPolicyStoreAliases",
"Resource": "*"
}
```
## verifizierte Berechtigungen: DeletePolicyStoreAlias
Um einen Policy Store-Alias zu löschen, benötigt der Principal nur die Erlaubnis für den Policy-Store-Alias.
**Anmerkung**
Das Löschen eines Policy Store-Alias hat keine Auswirkungen auf den zugehörigen Policy-Store, obwohl Anwendungen, die auf den Policy Store-Alias verweisen, Fehler erhalten. Wenn Sie versehentlich einen Policy Store-Alias löschen, können Sie ihn nach Ablauf des Reservierungszeitraums von 24 Stunden erneut erstellen.
Der Principal benötigt die `verifiedpermissions:DeletePolicyStoreAlias` Erlaubnis für den Policy Store-Alias. Geben Sie diese Berechtigung in einer IAM Richtlinie an, die dem Prinzipal zugeordnet ist, der den Policy-Store-Alias löschen darf.
In der folgenden Beispiel-Richtlinienanweisung wird der Alias des Richtlinienspeichers in einem `Resource` Element angegeben. Sie können jedoch mehrere Policy-Store-Alias auflisten ARNs oder ein Aliasmuster für den Richtlinienspeicher angeben, z. `"sample*"` B. Sie können auch den `Resource` Wert von angeben`"*"`, damit der Prinzipal alle Policy-Store-Alias in der Region AWS-Konto und löschen kann.
```
{
"Sid": "IAMPolicyForDeleteAlias",
"Effect": "Allow",
"Action": "verifiedpermissions:DeletePolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```
## Beschränken der Aliasberechtigungen für den Richtlinienspeicher
Sie können einen Richtlinienspeicher-Alias verwenden, um bei jedem Vorgang, der ein `policyStoreId` Feld als Eingabe akzeptiert, auf einen Richtlinienspeicher zu verweisen. Wenn Sie dies tun, autorisiert `verifiedpermissions:GetPolicyStoreAlias` Amazon Verified Permissions den Alias des Richtlinienspeichers und den angeforderten Vorgang anhand des zugehörigen Policy-Speichers.
Wenn der `IsAuthorized` Vorgang beispielsweise unter Verwendung eines Policy Store-Alias ausgeführt wird, benötigt der Principal beides:
+ `verifiedpermissions:GetPolicyStoreAlias`Berechtigung für den Policy Store-Alias
+ `verifiedpermissions:IsAuthorized`Erlaubnis für den zugehörigen Richtlinienspeicher
Die folgende Beispielrichtlinie erteilt die Berechtigung zum Aufrufen `IsAuthorized` unter Verwendung eines bestimmten Richtlinienspeicher-Alias.
```
{
"Sid": "IAMPolicyForAliasUsage",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
"Sid": "IAMPolicyForPolicyStoreOperation",
"Effect": "Allow",
"Action": "verifiedpermissions:IsAuthorized",
"Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```
Um einzuschränken, welche Policy-Speicher-Aliase ein Principal verwenden kann, schränken Sie die `verifiedpermissions:GetPolicyStoreAlias` Berechtigung ein. Die folgende Richtlinie ermöglicht es dem Prinzipal beispielsweise, alle Aliasnamen für den Richtlinienspeicher zu verwenden, mit Ausnahme derjenigen, die mit `Restricted` beginnen.
```
{
"Sid": "IAMPolicyForAliasAllow",
"Effect": "Allow",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
"Sid": "IAMPolicyForAliasDeny",
"Effect": "Deny",
"Action": "verifiedpermissions:GetPolicyStoreAlias",
"Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}
```