Politiche di autorizzazione verificate di Amazon

Una politica è una dichiarazione che consente o proibisce a un preside di intraprendere una o più azioni su una risorsa. Ogni politica viene valutata indipendentemente da ogni altra politica. Per ulteriori informazioni su come sono strutturate e valutate le politiche Cedar, vedere la convalida delle politiche Cedar rispetto allo schema nella Guida di riferimento al linguaggio delle politiche Cedar.

Facoltativamente, è possibile assegnare un nome di politica a una politica. I nomi delle politiche devono essere univoci per tutte le politiche all'interno dell'archivio delle politiche e devono essere preceduti da. name/ È possibile utilizzare il nome di una policy al posto dell'ID della policy nelle operazioni del piano di controllo che accettano un policyId parametro. L'esempio seguente utilizza il nome di una policy con GetPolicy cui recuperare una policy.


$ aws verifiedpermissions get-policy \
    --policy-id name/example-policy \
    --policy-store-id PSEXAMPLEabcdefg111111

Importante

Quando si scrivono politiche Cedar che fanno riferimento a principi, risorse e azioni, è possibile definire gli identificatori univoci utilizzati per ciascuno di questi elementi. Ti consigliamo vivamente di seguire queste best practice:

Utilizzate identificatori universalmente univoci (UUIDs) per tutti gli identificatori principali e di risorse.

Ad esempio, se un utente jane lascia l'azienda e in seguito consenti a qualcun altro di utilizzare il nomejane, quel nuovo utente ottiene automaticamente l'accesso a tutto ciò che è concesso dalle politiche che ancora fanno riferimento. User::"jane" Cedar non è in grado di distinguere tra il nuovo utente e il vecchio. Questo vale sia per gli identificatori principali che per quelli di risorse. Utilizza sempre identificatori che siano univoci garantiti e mai riutilizzati per assicurarti di non concedere involontariamente l'accesso a causa della presenza di un vecchio identificatore in una politica.

Se utilizzi un UUID per un'entità, ti consigliamo di seguirlo con l'identificatore//comment e il nome «descrittivo» dell'entità. Questo aiuta a rendere le tue politiche più facili da capire. Ad esempio: principal == Role: :"a1b2c3d4-e5f6-a1b2-c3d4- «,//administrators EXAMPLE11111
Non includete informazioni di identificazione personale, riservate o sensibili come parte dell'identificatore univoco dei vostri responsabili o delle vostre risorse. Questi identificatori sono inclusi nelle voci di registro condivise nei percorsi. AWS CloudTrail

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modalità di convalida delle politiche

Creazione di politiche statiche