Alias de la boutique Amazon Verified Permissions Policy - Amazon Verified Permissions
Propriétés des alias du Policy Store

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Alias de la boutique Amazon Verified Permissions Policy

Un alias de magasin de politiques est un nom convivial pour un magasin de politiques. Par exemple, les alias de magasin de politiques vous permettent de faire référence à un magasin de politiques en utilisant policy-store-alias/example-policy-store au lieu dePSEXAMPLEabcdefg111111. Les alias du Policy Store peuvent être utilisés dans toute opération Verified Permissions qui accepte un paramètre policyStoreId d'entrée.

Vous pouvez créer un alias de magasin de politiques pour un magasin de politiques à l'aide de l'CreatePolicyStoreAliasAPI ou de la AWS::VerifiedPermissions::PolicyStoreAlias CloudFormation ressource.

L'API Amazon Verified Permissions fournit un contrôle total des alias des magasins de politiques dans chaque région Compte AWS et dans chaque région. L'API inclut des opérations permettant de créer un alias de magasin de politiques (CreatePolicyStoreAlias), d'afficher les noms d'alias de magasin de politiques et l'alias de magasin de politiques ARNs (GetPolicyStoreAlias,ListPolicyStoreAliases) et de supprimer un alias de magasin de politiques (DeletePolicyStoreAlias).

Rubriques

Propriétés des alias du Policy Store

Comment fonctionnent les alias de la boutique Policy dans Amazon Verified Permissions

Un alias de magasin de politiques est une AWS ressource indépendante

Un alias de magasin de politiques n'est pas une propriété d'un magasin de politiques. Les actions que vous effectuez sur l'alias du magasin de politiques n'affectent pas le magasin de politiques associé. Vous pouvez supprimer l'alias du magasin de politiques sans aucun effet sur le magasin de politiques associé. Si vous supprimez un magasin de politiques, tous les alias de magasin de politiques associés à ce magasin de politiques sont également supprimés.

Chaque alias de magasin de politiques possède un Amazon Resource Name (ARN) qui identifie de manière unique l'alias de magasin de politiques. Si vous spécifiez un alias de magasin de politiques comme ressource dans une stratégie IAM, la politique fait référence à l'alias du magasin de politiques, et non au magasin de politiques associé.

Chaque alias de magasin de politiques possède deux formats

Lorsque vous créez un alias de magasin de politiques, vous spécifiez le nom de l'alias du magasin de politiques. Amazon Verified Permissions crée pour vous l'alias ARN de la boutique de politiques.

  • Un ARN d'alias de magasin de politiques est un nom de ressource Amazon (ARN) qui identifie de manière unique l'alias du magasin de politiques.

    # Alias ARN
arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store

  • Un nom d'alias de magasin de politiques unique dans la région Compte AWS et. Dans l'API Amazon Verified Permissions, le nom d'alias du Policy Store est toujours préfixé parpolicy-store-alias/.

    # Alias name
policy-store-alias/example-policy-store
Les alias du Policy Store ne sont pas secrets

Les alias du Policy Store peuvent être affichés en texte clair dans les CloudTrail journaux et autres sorties. N'incluez pas d'informations confidentielles ou sensibles dans le nom d'alias du Policy Store.

Chaque alias de magasin de politiques est associé à un magasin de politiques à la fois

L'alias du magasin de politiques et le magasin de politiques associé doivent appartenir à Compte AWS la même région. Vous pouvez associer un alias de magasin de politiques à n'importe quel magasin de politiques de Compte AWS la même région.

Par exemple, cette ListPolicyStoreAliases sortie indique que l'alias du magasin de example-policy-store politiques est associé à exactement un magasin de stratégies cible, représenté par la policyStoreId propriété.

{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
Plusieurs alias peuvent être associés au même magasin de politiques

Par exemple, vous pouvez associer les example-policy-store-2 alias example-policy-store et au même magasin de politiques.

[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]
Un alias de magasin de politiques doit être unique dans une région Compte AWS et

Par exemple, vous ne pouvez avoir qu'un seul alias de magasin de politiques dont le nom se trouve example-policy-store dans chaque région Compte AWS et dans chaque région. Les alias du Policy Store font la distinction majuscules/majuscules. Vous ne pouvez pas modifier le nom d'alias d'un magasin de politiques. Toutefois, vous pouvez supprimer l'alias du magasin de politiques et créer un nouvel alias du magasin de politiques portant le nom souhaité après l'expiration de la période de réservation de 24 heures.

Vous pouvez créer des alias de magasin de politiques portant le même nom dans différentes régions. Chaque alias de magasin de politiques aura un ARN unique. Si votre code fait référence à un alias de magasin de politiquespolicy-store-alias/example-policy-store, par exemple, vous pouvez l'exécuter dans plusieurs régions. Dans chaque région, il utilise un magasin de politiques différent.

Les alias du Policy Store sont supprimés progressivement

Lorsqu'un alias de magasin de politiques est supprimé, le nom d'alias du magasin de politiques est réservé pour une période de 24 heures. Si vous tentez de créer un alias de magasin de politiques portant le même nom pendant cette période, la demande sera rejetée. Pendant cette période, GetPolicyStoreAlias renvoie l'alias du magasin de politiques avec l'PendingDeletionétat.

Vous pouvez utiliser des alias pour identifier les magasins de politiques

Vous pouvez utiliser un alias de magasin de politiques pour identifier un magasin de politiques dans toutes les opérations qui acceptent un policyStoreId (par exemple,IsAuthorized). Dans de tels cas, le nom d'alias du magasin de politiques doit être préfixé parpolicy-store-alias/. Les alias du magasin de politiques ne peuvent pas être utilisés pour identifier un magasin de politiques pour l'DeletePolicyStoreopération.

Vous ne pouvez pas utiliser le nom d'alias d'un magasin de politiques ou l'ARN d'un alias de magasin de politiques pour identifier un magasin de politiques dans l'Resourceélément d'une stratégie IAM. Pour contrôler l'accès à un magasin de politiques lorsqu'il est référencé via un alias de magasin de politiques, consultezContrôle de l'accès aux alias du Policy Store.