翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Verified Access ポリシーの例
<a name="trust-data-iam-add-pol"></a>

Verified Access ポリシーを使用して、特定のユーザーとデバイスにアプリケーションへのアクセス権を付与できます。

**Topics**
+ [例 1: IAM アイデンティティセンターのグループにアクセス権を付与する](#example-policy-iam-identity-center)
+ [例 2: サードパーティープロバイダーのグループにアクセス権を付与する](#example-policy-oidc-provider)
+ [例 3: CrowdStrike を使用してアクセス権を付与する](#example-policy-crowdstrike)
+ [例 4：特定の IP アドレスを許可または拒否する](#example-policy-ip-address)

## 例 1: IAM アイデンティティセンターのグループにアクセス権を付与する
<a name="example-policy-iam-identity-center"></a>

を使用する場合は AWS IAM アイデンティティセンター、IDs を使用してグループを参照することをお勧めします。これにより、グループの名前を変更した場合にポリシーステートメントが機能しなくなるのを防ぐことができます。

次のポリシー例では、指定されたグループに所属する、検証済みの E メールアドレスを持つユーザーにのみアクセスを許可します。グループ ID は c242c5b0-6081-1845-6fa8-6e0d9513c107 です。

```
permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};
```

次のポリシー例では、ユーザーが指定のグループに所属し、検証済みの E メールアドレスを持っていて、Jamf デバイスリスクスコアが `LOW` の場合にのみアクセスを許可します。

```
permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};
```

トラストデータの詳細については、「[AWS IAM アイデンティティセンター Verified Access 信頼データのコンテキスト](trust-data-iam.md)」を参照してください。

## 例 2: サードパーティープロバイダーのグループにアクセス権を付与する
<a name="example-policy-oidc-provider"></a>

次のポリシー例では、ユーザーが指定のグループに所属し、検証済みの E メールアドレスを持っていて、Jamf デバイスリスクスコアが LOW の場合にのみアクセスを許可します。グループの名前は「finance」です。

```
permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};
```

トラストデータの詳細については、「[Verified Access トラストデータのサードパーティー信頼プロバイダーのコンテキスト](trust-data-third-party-trust.md)」を参照してください。

## 例 3: CrowdStrike を使用してアクセス権を付与する
<a name="example-policy-crowdstrike"></a>

次のポリシー例では、全体評価のスコアが 50 を超えるとアクセスが許可されます。

```
permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};
```

## 例 4：特定の IP アドレスを許可または拒否する
<a name="example-policy-ip-address"></a>

次のポリシー例では、指定された IP アドレスからの HTTP リクエストを許可します。

```
permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};
```

次のポリシー例では、指定された IP アドレスからの HTTP リクエストを拒否します。

```
forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};
```

次のポリシー例では、指定された IP アドレスからの TCP リクエストを許可します。

```
permit(principal, action, resource) 
when {
    context.tcp_flow.client_ip == "192.0.2.1"
};
```