View a markdown version of this page

Control del acceso a los alias del almacén de políticas - Amazon Verified Permissions
permisos verificados: CreatePolicyStoreAliaspermisos verificados: GetPolicyStoreAliaspermisos verificados: ListPolicyStoreAliasespermisos verificados: DeletePolicyStoreAliasLimitar los permisos del alias del almacén de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a los alias del almacén de políticas

Los responsables que administran los alias del almacén de políticas deben tener permiso para interactuar con esos alias del almacén de políticas y, en algunas operaciones, con el almacén de políticas al que está asociado el alias del almacén de políticas. Puede proporcionar estos permisos mediante políticas. IAM

En las siguientes secciones se describen los permisos necesarios para crear y administrar los alias de los almacenes de políticas.

permisos verificados: CreatePolicyStoreAlias

Para crear un alias de almacén de políticas, el director necesita los siguientes permisos tanto para el alias del almacén de políticas como para el almacén de políticas asociado.

  • verifiedpermissions:CreatePolicyStoreAliaspara el alias del almacén de políticas. Proporcione este permiso en una IAM política adjunta al director, que puede crear el alias del almacén de políticas.

    El siguiente ejemplo de declaración de política especifica un alias de almacén de políticas concreto en un Resource elemento. Sin embargo, puede enumerar varios alias de almacenes de políticas ARNs o especificar un patrón de alias de almacenes de políticas, como"sample*". También puede especificar un Resource valor de "*" para que la entidad principal pueda crear cualquier alias de almacén de políticas en la región Cuenta de AWS y.

    {
  "Sid": "IAMPolicyForCreateAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

  • verifiedpermissions:CreatePolicyStoreAliaspara el almacén de políticas asociado. Este permiso debe proporcionarse en una IAM política.

    {
  "Sid": "PolicyStorePermissionForAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

permisos verificados: GetPolicyStoreAlias

Para obtener detalles sobre un alias de almacén de políticas específico, el director debe tener verifiedpermissions:GetPolicyStoreAlias permiso para usar el alias del almacén de políticas en una IAM política.

El siguiente ejemplo de declaración de política otorga al principal permiso para obtener un alias de almacén de políticas específico.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

permisos verificados: ListPolicyStoreAliases

Para incluir los alias de los almacenes de políticas en la región Cuenta de AWS y, el director debe tener verifiedpermissions:ListPolicyStoreAliases permiso en una política. IAM Como esta política no está relacionada con ningún almacén de políticas o recurso de alias de almacén de políticas en particular, el valor del elemento de recurso de la política debe serlo"*".

Por ejemplo, la siguiente declaración IAM de política otorga al director el permiso para enumerar todos los alias de los almacenes de políticas del Cuenta de AWS.

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

permisos verificados: DeletePolicyStoreAlias

Para eliminar un alias del almacén de políticas, el director solo necesita permiso para el alias del almacén de políticas.

nota

La eliminación de un alias del almacén de políticas no afecta al almacén de políticas asociado, aunque las aplicaciones que hagan referencia al alias del almacén de políticas recibirán errores. Si elimina por error un alias de almacén de políticas, puede volver a crearlo después del período de reserva de 24 horas.

El director necesita verifiedpermissions:DeletePolicyStoreAlias permiso para el alias del almacén de políticas. Proporcione este permiso en una IAM política adjunta al director, quien podrá eliminar el alias del almacén de políticas.

El siguiente ejemplo de declaración de política especifica el alias del almacén de políticas en un Resource elemento. Sin embargo, puede enumerar varios alias de almacenes de políticas ARNs o especificar un patrón de alias de almacenes de políticas, como"sample*". También puede especificar un Resource valor de "*" para permitir que la entidad principal elimine cualquier alias de almacén de políticas de la región Cuenta de AWS y.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Limitar los permisos del alias del almacén de políticas

Puede usar un alias de almacén de políticas para hacer referencia a un almacén de políticas en cualquier operación que acepte un policyStoreId campo como entrada. Al hacerlo, Amazon Verified Permissions autoriza verifiedpermissions:GetPolicyStoreAlias contra el alias del almacén de políticas y la operación solicitada contra el almacén de políticas asociado.

Por ejemplo, si la IsAuthorized operación se realiza con un alias de almacén de políticas, el director necesita ambas cosas:

  • verifiedpermissions:GetPolicyStoreAliaspermiso para el alias del almacén de políticas

  • verifiedpermissions:IsAuthorizedpermiso para el almacén de políticas asociado

El siguiente ejemplo de política otorga permiso para llamar IsAuthorized con un alias de almacén de políticas específico.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

Para limitar los alias del almacén de políticas que puede usar un director, restrinja el verifiedpermissions:GetPolicyStoreAlias permiso. Por ejemplo, la siguiente política permite al director utilizar cualquier alias del almacén de políticas, excepto los que comiencen por. Restricted

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}