View a markdown version of this page

Ejemplo de políticas de Amazon Verified Permissions - Amazon Verified Permissions
Utiliza la notación entre corchetes para hacer referencia a los atributos del tokenUtiliza la notación de puntos para hacer referencia a los atributosRefleja Amazon Cognito Atributos del token de identificaciónRefleja los atributos del token de ID de OIDCRefleja Amazon Cognito acceder a los atributos del tokenRefleja los atributos del token de acceso del OIDC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de políticas de Amazon Verified Permissions

Algunos de los ejemplos de políticas que se incluyen aquí son ejemplos básicos de políticas de Cedar y otros están verificados. Permissions-specific Los más básicos enlazan con la Guía de referencia sobre el lenguaje de políticas de Cedar y están incluidos allí. Para obtener más información sobre la sintaxis de las políticas de Cedar, consulte el tema sobre la construcción básica de políticas en Cedar en la Guía de referencia sobre el lenguaje de las políticas de Cedar.

Ejemplos de políticas

Utiliza la notación entre corchetes para hacer referencia a los atributos del token

En el siguiente ejemplo, se muestra cómo se puede crear una política que utilice la notación entre corchetes para hacer referencia a los atributos del token.

Para obtener más información sobre el uso de atributos de token en las políticas de Verified Permissions, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Utiliza la notación de puntos para hacer referencia a los atributos

En el siguiente ejemplo, se muestra cómo se puede crear una política que utilice la notación de puntos para hacer referencia a los atributos.

Para obtener más información sobre el uso de atributos de token en las políticas de Verified Permissions, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Refleja Amazon Cognito Atributos del token de identificación

En el siguiente ejemplo, se muestra cómo se puede crear una política a partir de los atributos del token de ID Amazon Cognito.

Para obtener más información sobre el uso de atributos de token en las políticas de Verified Permissions, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Refleja los atributos del token de ID de OIDC

En el siguiente ejemplo, se muestra cómo se puede crear una política que haga referencia a los atributos del token de ID desde un proveedor de OIDC.

Para obtener más información sobre el uso de atributos de token en las políticas de permisos verificados, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Refleja Amazon Cognito acceder a los atributos del token

En el siguiente ejemplo, se muestra cómo se puede crear una política que haga referencia a los atributos del token de acceso desde Amazon Cognito.

Para obtener más información sobre el uso de atributos de token en las políticas de Verified Permissions, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Refleja los atributos del token de acceso del OIDC

En el siguiente ejemplo, se muestra cómo se puede crear una política que haga referencia a los atributos del token de acceso de un proveedor de OIDC.

Para obtener más información sobre el uso de atributos de token en las políticas de permisos verificados, consulte Asignación de Amazon Cognito tokens a un esquema y Asignación de tokens OIDC a un esquema.

permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};