Contrôle de l'accès aux alias du Policy Store - Amazon Verified Permissions
autorisations vérifiées : CreatePolicyStoreAliasautorisations vérifiées : GetPolicyStoreAliasautorisations vérifiées : ListPolicyStoreAliasesautorisations vérifiées : DeletePolicyStoreAliasLimitation des autorisations relatives aux alias du magasin Policy

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux alias du Policy Store

Les responsables qui gèrent les alias du magasin de politiques doivent être autorisés à interagir avec ces alias du magasin de politiques et, pour certaines opérations, avec le magasin de politiques auquel l'alias du magasin de politiques est associé. Vous pouvez fournir ces autorisations à l'aide IAM de politiques.

Les sections suivantes décrivent les autorisations requises pour créer et gérer des alias de magasin de politiques.

autorisations vérifiées : CreatePolicyStoreAlias

Pour créer un alias de magasin de politiques, le principal doit disposer des autorisations suivantes à la fois pour l'alias du magasin de politiques et pour le magasin de politiques associé.

  • verifiedpermissions:CreatePolicyStoreAliaspour l'alias du Policy Store. Fournissez cette autorisation dans une IAM politique attachée au principal autorisé à créer l'alias du magasin de politiques.

    L'exemple de déclaration de politique suivant spécifie un alias de magasin de politiques particulier dans un Resource élément. Mais vous pouvez répertorier plusieurs alias de magasin de politiques ARNs ou spécifier un modèle d'alias de magasin de politiques, tel que"sample*". Vous pouvez également spécifier une Resource valeur de "*" pour permettre au principal de créer n'importe quel alias de magasin de politiques dans la région Compte AWS et.

    {
  "Sid": "IAMPolicyForCreateAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

  • verifiedpermissions:CreatePolicyStoreAliaspour le magasin de politiques associé. Cette autorisation doit être fournie dans une IAM politique.

    {
  "Sid": "PolicyStorePermissionForAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

autorisations vérifiées : GetPolicyStoreAlias

Pour obtenir des informations sur un alias de magasin de politiques spécifique, le principal doit être verifiedpermissions:GetPolicyStoreAlias autorisé à utiliser l'alias de magasin de politiques dans une IAM politique.

L'exemple de déclaration de politique suivant donne au principal l'autorisation d'obtenir un alias de magasin de politiques spécifique.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

autorisations vérifiées : ListPolicyStoreAliases

Pour répertorier les alias du magasin de politiques dans la région Compte AWS et, le principal doit disposer d'une verifiedpermissions:ListPolicyStoreAliases autorisation dans une IAM politique. Étant donné que cette politique n'est liée à aucune ressource de magasin de politiques ou d'alias de magasin de politiques en particulier, la valeur de l'élément de ressource dans la stratégie doit être"*".

Par exemple, la déclaration de IAM politique suivante donne au principal l'autorisation de répertorier tous les alias du magasin de politiques dans le Compte AWS.

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

autorisations vérifiées : DeletePolicyStoreAlias

Pour supprimer un alias de magasin de politiques, le principal a besoin d'une autorisation uniquement pour l'alias du magasin de politiques.

Note

La suppression d'un alias de magasin de politiques n'a aucun effet sur le magasin de politiques associé, même si les applications qui font référence à l'alias du magasin de politiques recevront des erreurs. Si vous supprimez par erreur un alias de magasin de politiques, vous pouvez le recréer après la période de réservation de 24 heures.

Le principal a besoin verifiedpermissions:DeletePolicyStoreAlias d'une autorisation pour l'alias du magasin de politiques. Fournissez cette autorisation dans une IAM politique attachée au principal autorisé à supprimer l'alias du magasin de politiques.

L'exemple de déclaration de politique suivant spécifie l'alias du magasin de politiques dans un Resource élément. Mais vous pouvez répertorier plusieurs alias de magasin de politiques ARNs ou spécifier un modèle d'alias de magasin de politiques, tel que"sample*". Vous pouvez également spécifier une Resource valeur de "*" pour permettre au principal de supprimer tout alias de magasin de politiques dans la région Compte AWS et.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Limitation des autorisations relatives aux alias du magasin Policy

Vous pouvez utiliser un alias de magasin de politiques pour faire référence à un magasin de politiques dans toute opération qui accepte un policyStoreId champ en entrée. Lorsque vous le faites, Amazon Verified Permissions autorise par verifiedpermissions:GetPolicyStoreAlias rapport à l'alias du magasin de politiques et l'opération demandée par rapport au magasin de politiques associé.

Par exemple, si l'IsAuthorizedopération est effectuée à l'aide d'un alias de magasin de politiques, le principal a besoin des deux éléments suivants :

  • verifiedpermissions:GetPolicyStoreAliasautorisation pour l'alias du Policy Store

  • verifiedpermissions:IsAuthorizedautorisation pour le magasin de politiques associé

L'exemple de politique suivant accorde l'autorisation d'appeler IsAuthorized en utilisant un alias de magasin de politiques spécifique.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

Pour limiter les alias de magasin de politiques qu'un principal peut utiliser, limitez l'verifiedpermissions:GetPolicyStoreAliasautorisation. Par exemple, la politique suivante autorise le principal à utiliser n'importe quel alias de magasin de politiques, à l'exception de ceux commençant parRestricted.

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}