翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Verified Permissions ポリシーストアのエイリアス

ポリシーストアエイリアスは、ポリシーストアのわかりやすい名前です。たとえば、ポリシーストアエイリアスを使用すると、 policy-store-alias/example-policy-storeの代わりに を使用してポリシーストアを参照できますPSEXAMPLEabcdefg111111。ポリシーストアエイリアスは、policyStoreId入力パラメータを受け入れる任意の Verified Permissions オペレーションで使用できます。

CreatePolicyStoreAlias API または AWS::VerifiedPermissions::PolicyStoreAlias CloudFormation リソースを使用して、ポリシーストアのポリシーストアエイリアスを作成できます。

Amazon Verified Permissions API は、各 AWS アカウント およびリージョンのポリシーストアエイリアスを完全に制御します。API には、ポリシーストアエイリアス (CreatePolicyStoreAlias) を作成し、ポリシーストアエイリアス名とポリシーストアエイリアス ARNs (GetPolicyStoreAlias、ListPolicyStoreAliases) を表示し、ポリシーストアエイリアス () を削除するオペレーションが含まれていますDeletePolicyStoreAlias。

ポリシーストアエイリアスのプロパティ

Amazon Verified Permissions でのポリシーストアエイリアスの仕組み。

ポリシーストアエイリアスは独立した AWS リソースです

ポリシーストアエイリアスは、ポリシーストアのプロパティではありません。ポリシーストアエイリアスに対して実行するアクションは、関連するポリシーストアには影響しません。ポリシーストアエイリアスは、関連するポリシーストアに影響を与えずに削除できます。ポリシーストアを削除すると、そのポリシーストアに関連付けられたすべてのポリシーストアエイリアスも削除されます。

各ポリシーストアエイリアスには、ポリシーストアエイリアスを一意に識別する Amazon リソースネーム (ARN) があります。ポリシーストアエイリアスを IAM ポリシーのリソースとして指定すると、ポリシーは関連するポリシーストアではなく、ポリシーストアエイリアスを参照します。

各ポリシーストアエイリアスには 2 つの形式があります

ポリシーストアエイリアスを作成するときは、ポリシーストアエイリアス名を指定します。Amazon Verified Permissions は、ポリシーストアのエイリアス ARN を作成します。

ポリシーストアエイリアスはシークレットではありません

ポリシーストアのエイリアスは、CloudTrail ログやその他の出力でプレーンテキストで表示される場合があります。ポリシーストアのエイリアス名に機密情報や機密情報を含めないでください。

各ポリシーストアエイリアスは、一度に 1 つのポリシーストアに関連付けられます。

ポリシーストアエイリアスとそれに関連付けられたポリシーストアは、同じ AWS アカウント および リージョンに属している必要があります。ポリシーストアエイリアスは、同じ AWS アカウント およびリージョン内の任意のポリシーストアに関連付けることができます。

たとえば、このListPolicyStoreAliases出力は、example-policy-storeポリシーストアエイリアスが policyStoreIdプロパティで表される 1 つのターゲットポリシーストアにのみ関連付けられていることを示しています。

{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}

複数のエイリアスを同じポリシーストアに関連付けることができます

たとえば、 example-policy-storeおよび example-policy-store-2 エイリアスを同じポリシーストアに関連付けることができます。

[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]

ポリシーストアエイリアスは、 AWS アカウント および リージョンで一意である必要があります

たとえば、各 AWS アカウント とリージョンexample-policy-storeに という名前のポリシーストアエイリアスを 1 つだけ持つことができます。ポリシーストアエイリアスでは、大文字と小文字が区別されます。ポリシーストアのエイリアス名を変更することはできません。ただし、24 時間の予約期間が終了したら、ポリシーストアエイリアスを削除し、目的の名前で新しいポリシーストアエイリアスを作成できます。

異なるリージョンで同じ名前のポリシーストアエイリアスを作成できます。各ポリシーストアエイリアスには一意の ARN があります。コードが などのポリシーストアエイリアス名を参照している場合はpolicy-store-alias/example-policy-store、複数のリージョンで実行できます。各リージョンでは、異なるポリシーストアを使用します。

ポリシーストアのエイリアスはソフトに削除されます

ポリシーストアエイリアスが削除されると、ポリシーストアエイリアス名は 24 時間予約されます。この期間中に同じ名前のポリシーストアエイリアスを作成しようとすると、リクエストは拒否されます。この期間中、 は PendingDeletion状態のポリシーストアエイリアスGetPolicyStoreAliasを返します。

エイリアスを使用してポリシーストアを識別できます

ポリシーストアエイリアスを使用して、 を受け入れるすべてのオペレーションでポリシーストアを識別できます policyStoreId (例: IsAuthorized)。このような場合、ポリシーストアのエイリアス名には のプレフィックスを付ける必要がありますpolicy-store-alias/。ポリシーストアエイリアスを使用して、DeletePolicyStoreオペレーションのポリシーストアを識別することはできません。

ポリシーストアエイリアス名またはポリシーストアエイリアス ARN を使用して、IAM ポリシーの Resource要素内のポリシーストアを識別することはできません。ポリシーストアエイリアスを介して参照されるときにポリシーストアへのアクセスを制御するには、「」を参照してくださいポリシーストアエイリアスへのアクセスの制御。