翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Verified Permissions ポリシーストアのエイリアス
<a name="policy-store-aliases"></a>

ポリシーストアエイリアスは、ポリシーストアのわかりやすい名前です。たとえば、ポリシーストアエイリアスを使用すると、 `policy-store-alias/example-policy-store`の代わりに を使用してポリシーストアを参照できます`PSEXAMPLEabcdefg111111`。ポリシーストアエイリアスは、`policyStoreId`入力パラメータを受け入れる任意の Verified Permissions オペレーションで使用できます。

`CreatePolicyStoreAlias` API または `AWS::VerifiedPermissions::PolicyStoreAlias` CloudFormation リソースを使用して、ポリシーストアのポリシーストアエイリアスを作成できます。

Amazon Verified Permissions API は、各 AWS アカウント およびリージョンのポリシーストアエイリアスを完全に制御します。API には、ポリシーストアエイリアス (`CreatePolicyStoreAlias`) を作成し、ポリシーストアエイリアス名とポリシーストアエイリアス ARNs (`GetPolicyStoreAlias`、`ListPolicyStoreAliases`) を表示し、ポリシーストアエイリアス () を削除するオペレーションが含まれています`DeletePolicyStoreAlias`。

**Topics**
+ [ポリシーストアエイリアスのプロパティ](#alias-properties)
+ [Amazon Verified Permissions ポリシーストアエイリアスの作成](policy-store-aliases-create.md)
+ [Amazon Verified Permissions ポリシーストアエイリアスの取得](policy-store-aliases-retrieve.md)
+ [Amazon Verified Permissions ポリシーストアエイリアスの削除](policy-store-aliases-delete.md)
+ [API オペレーションでの Amazon Verified Permissions ポリシーストアエイリアスの使用](policy-store-aliases-using.md)
+ [ポリシーストアエイリアスへのアクセスの制御](policy-store-aliases-control-access.md)

## ポリシーストアエイリアスのプロパティ
<a name="alias-properties"></a>

Amazon Verified Permissions でのポリシーストアエイリアスの仕組み。

**ポリシーストアエイリアスは独立した AWS リソースです**  
ポリシーストアエイリアスは、ポリシーストアのプロパティではありません。ポリシーストアエイリアスに対して実行するアクションは、関連するポリシーストアには影響しません。ポリシーストアエイリアスは、関連するポリシーストアに影響を与えずに削除できます。ポリシーストアを削除すると、そのポリシーストアに関連付けられたすべてのポリシーストアエイリアスも削除されます。

各ポリシーストアエイリアスには、ポリシーストアエイリアスを一意に識別する Amazon リソースネーム (ARN) があります。ポリシーストアエイリアスを IAM ポリシーのリソースとして指定すると、ポリシーは関連するポリシーストアではなく、ポリシーストアエイリアスを参照します。

**各ポリシーストアエイリアスには 2 つの形式があります**  
ポリシーストアエイリアスを作成するときは、ポリシーストアエイリアス名を指定します。Amazon Verified Permissions は、ポリシーストアのエイリアス ARN を作成します。
+ ポリシーストアエイリアス ARN は、ポリシーストアエイリアスを一意に識別する Amazon リソースネーム (ARN) です。

  ```
  # Alias ARN
  arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store
  ```
+  AWS アカウント および リージョンで一意のポリシーストアエイリアス名。Amazon Verified Permissions API では、ポリシーストアのエイリアス名には常に というプレフィックスが付けられます`policy-store-alias/`。

  ```
  # Alias name
  policy-store-alias/example-policy-store
  ```

**ポリシーストアエイリアスはシークレットではありません**  
ポリシーストアのエイリアスは、CloudTrail ログやその他の出力でプレーンテキストで表示される場合があります。ポリシーストアのエイリアス名に機密情報や機密情報を含めないでください。

**各ポリシーストアエイリアスは、一度に 1 つのポリシーストアに関連付けられます。**  
ポリシーストアエイリアスとそれに関連付けられたポリシーストアは、同じ AWS アカウント および リージョンに属している必要があります。ポリシーストアエイリアスは、同じ AWS アカウント およびリージョン内の任意のポリシーストアに関連付けることができます。

たとえば、この`ListPolicyStoreAliases`出力は、`example-policy-store`ポリシーストアエイリアスが `policyStoreId`プロパティで表される 1 つのターゲットポリシーストアにのみ関連付けられていることを示しています。

```
{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
```

**複数のエイリアスを同じポリシーストアに関連付けることができます**  
たとえば、 `example-policy-store`および `example-policy-store-2` エイリアスを同じポリシーストアに関連付けることができます。

```
[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]
```

**ポリシーストアエイリアスは、 AWS アカウント および リージョンで一意である必要があります**  
たとえば、各 AWS アカウント とリージョン`example-policy-store`に という名前のポリシーストアエイリアスを 1 つだけ持つことができます。ポリシーストアエイリアスでは、大文字と小文字が区別されます。ポリシーストアのエイリアス名を変更することはできません。ただし、24 時間の予約期間が終了したら、ポリシーストアエイリアスを削除し、目的の名前で新しいポリシーストアエイリアスを作成できます。

異なるリージョンで同じ名前のポリシーストアエイリアスを作成できます。各ポリシーストアエイリアスには一意の ARN があります。コードが などのポリシーストアエイリアス名を参照している場合は`policy-store-alias/example-policy-store`、複数のリージョンで実行できます。各リージョンでは、異なるポリシーストアを使用します。

**ポリシーストアのエイリアスはソフトに削除されます**  
ポリシーストアエイリアスが削除されると、ポリシーストアエイリアス名は 24 時間予約されます。この期間中に同じ名前のポリシーストアエイリアスを作成しようとすると、リクエストは拒否されます。この期間中、 は `PendingDeletion`状態のポリシーストアエイリアス`GetPolicyStoreAlias`を返します。

**エイリアスを使用してポリシーストアを識別できます**  
ポリシーストアエイリアスを使用して、 を受け入れるすべてのオペレーションでポリシーストアを識別できます `policyStoreId` (例: `IsAuthorized`)。このような場合、ポリシーストアのエイリアス名には のプレフィックスを付ける必要があります`policy-store-alias/`。ポリシーストアエイリアスを使用して、`DeletePolicyStore`オペレーションのポリシーストアを識別することはできません。

ポリシーストアエイリアス名またはポリシーストアエイリアス ARN を使用して、IAM ポリシーの `Resource`要素内のポリシーストアを識別することはできません。ポリシーストアエイリアスを介して参照されるときにポリシーストアへのアクセスを制御するには、「」を参照してください[ポリシーストアエイリアスへのアクセスの制御](policy-store-aliases-control-access.md)。

# Amazon Verified Permissions ポリシーストアエイリアスの作成
<a name="policy-store-aliases-create"></a>

わかりやすい名前を使用してポリシーストアを参照するポリシーストアエイリアスを作成できます。ポリシーストアエイリアスの名前は、 AWS アカウント および リージョンごとに一意である必要があります。ポリシーストアエイリアスは、ポリシーストアエイリアスと同じリージョンで同じ AWS アカウント およびアクティブな によって所有されているポリシーストアにのみ関連付けることができます。ポリシーストアエイリアスは、独自の ARNsと IAM 認可を持つ個別のリソースです。

デフォルトでは、同じポリシーストアに関連付けることができるポリシーストアエイリアスは 10 個のみです。

**注記**  
`CreatePolicyStoreAlias` はべき等です。既存のポリシーストアエイリアスに一致するポリシーストアエイリアス名とポリシーストア ID を使用して `CreatePolicyStoreAlias` オペレーションを呼び出すと、`CreatePolicyStoreAlias`オペレーションは成功し、既存のポリシーストアエイリアスを返します。ただし、既存のポリシーストアエイリアス名ではなく別のポリシーストア ID を使用して `CreatePolicyStoreAlias` オペレーションを呼び出すと、オペレーションは を返します`ConflictException`。

------
#### [ AWS CLI ]

**ポリシーストアエイリアスを作成するには**  
[CreatePolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_CreatePolicyStoreAlias.html) オペレーションを使用して、ポリシーストアエイリアスを作成できます。次の例では、 という名前のポリシーストアエイリアスを作成します`example-policy-store`。

```
$ aws verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/example-policy-store \
    --policy-store-id PSEXAMPLEabcdefg111111
{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00"
}
```

------

# Amazon Verified Permissions ポリシーストアエイリアスの取得
<a name="policy-store-aliases-retrieve"></a>

`GetPolicyStoreAlias` オペレーションを使用してポリシーストアエイリアスに関する情報を取得し、特定のポリシーストアエイリアスの詳細を取得するか、 AWS アカウント およびリージョン内のすべてのポリシーストアエイリアスを一覧表示する`ListPolicyStoreAliases`オペレーションを使用できます。

## ポリシーストアエイリアスの取得
<a name="policy-store-aliases-get"></a>

`GetPolicyStoreAlias` オペレーションを使用して、関連するポリシーストア ID など、特定のポリシーストアエイリアスに関する詳細を取得します。

------
#### [ AWS CLI ]

**ポリシーストアエイリアスの詳細を取得するには**  
[GetPolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_GetPolicyStoreAlias.html) オペレーションを使用して、ポリシーストアエイリアスを取得できます。次の の例では、 という名前のポリシーストアエイリアスの詳細を取得します`example-policy-store`。

```
$ aws verifiedpermissions get-policy-store-alias \
    --alias-name policy-store-alias/example-policy-store
{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
```

------

## ポリシーストアエイリアスの一覧表示
<a name="policy-store-aliases-list"></a>

`ListPolicyStoreAliases` オペレーションを使用して、 AWS アカウント および リージョン内のすべてのポリシーストアエイリアスを一覧表示します。`filter` パラメータを使用して、特定のポリシーストアに関連付けられたポリシーストアエイリアスのみを一覧表示できます。

------
#### [ AWS CLI ]

**すべてのポリシーストアエイリアスを一覧表示するには**  
[ListPolicyStoreAliases](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_ListPolicyStoreAliases.html) オペレーションを使用して、ポリシーストアエイリアスを一覧表示できます。次の の例では、us-west-2 リージョンの 123456789012 AWS アカウント が所有するすべてのポリシーストアエイリアスを一覧表示します。

```
$ aws verifiedpermissions list-policy-store-aliases
{
    "policyStoreAliases": [
        {
            "aliasName": "policy-store-alias/example-policy-store",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
            "createdAt": "2024-01-15T12:30:00.000000+00:00",
            "state": "Active"
        },
        {
            "aliasName": "policy-store-alias/example-policy-store-2",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
            "createdAt": "2024-01-16T09:15:00.000000+00:00",
            "state": "Active"
        },
        {
            "aliasName": "policy-store-alias/example-policy-store-3",
            "policyStoreId": "PSEXAMPLEabcdefg222222",
            "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-3",
            "createdAt": "2024-01-17T14:45:00.000000+00:00",
            "state": "Active"
        }
    ]
}
```

**特定のポリシーストアのポリシーストアエイリアスを一覧表示するには**  
`filter` パラメータを使用して、特定のポリシーストアに関連付けられたエイリアスのみを一覧表示します。

```
$ aws verifiedpermissions list-policy-store-aliases \
    --filter '{"policyStoreId": "PSEXAMPLEabcdefg111111"}'
{
    "policyStoreAliases": [
        {
            "aliasName": "policy-store-alias/example-policy-store",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
            "createdAt": "2024-01-15T12:30:00.000000+00:00",
            "state": "Active"
        },
        {
            "aliasName": "policy-store-alias/example-policy-store-2",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
            "createdAt": "2024-01-16T09:15:00.000000+00:00",
            "state": "Active"
        }
    ]
}
```

------

# Amazon Verified Permissions ポリシーストアエイリアスの削除
<a name="policy-store-aliases-delete"></a>

不要になったポリシーストアエイリアスは削除できます。ポリシーストアエイリアスを削除しても、関連付けられたポリシーストアには影響しません。ポリシーストアを削除すると、そのポリシーストアに関連付けられているすべてのポリシーストアエイリアスが削除されます。

ポリシーストアエイリアスを削除すると、ポリシーストアエイリアス名は 24 時間予約され、この期間に再利用することはできません。

------
#### [ AWS CLI ]

**ポリシーストアエイリアスを削除するには**  
[DeletePolicyStoreAlias](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_DeletePolicyStoreAlias.html) オペレーションを使用して、ポリシーストアエイリアスを削除できます。次の の例では、 という名前のポリシーストアエイリアスを削除します`example-policy-store`。

```
$ aws verifiedpermissions delete-policy-store-alias \
    --alias-name policy-store-alias/example-policy-store
```

------

# API オペレーションでの Amazon Verified Permissions ポリシーストアエイリアスの使用
<a name="policy-store-aliases-using"></a>

[IsAuthorized](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorized.html)、[IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)、[GetPolicyStore](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_GetPolicyStore.html) などの`policyStoreId`パラメータを受け入れる Amazon Verified Permissions オペレーションは、ポリシーストア ID の代わりにポリシーストアエイリアス名を受け入れることができます。

**重要**  
ポリシーストアエイリアスを`policyStoreId`パラメータの値として使用する場合は、 `policy-store-alias/` プレフィックスを含める必要があります。たとえば、 `policy-store-alias/example-policy-store`ではなく を使用します`example-policy-store`。

## オペレーションでのポリシーストアエイリアスの使用
<a name="alias-using-operations"></a>

次の`IsAuthorized`コマンドは、 という名前のポリシーストアエイリアス`example-policy-store`を使用してポリシーストアを識別します。

------
#### [ AWS CLI ]

```
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
```

------

**注記**  
[DeletePolicyStore](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_DeletePolicyStore.html) オペレーションの `policyStoreId`フィールドの代わりにポリシーストアエイリアスを使用することはできません。

## 全体でのポリシーストアエイリアスの使用 AWS リージョン
<a name="alias-using-multi-region"></a>

エイリアスの最も強力な使用法の 1 つは、アプリケーションを複数の AWS リージョンで実行する場合です。たとえば、各リージョンで異なるポリシーストアを使用するグローバルアプリケーションがあるとします。
+ us-east-1 では、 を使用します`PSEXAMPLEabcdefg111111`。
+ eu-west-1 では、 を使用します`PSEXAMPLEabcdefg222222`。

リージョンごとに異なるバージョンのアプリケーションを作成するか、ディクショナリステートメントまたはスイッチステートメントを使用して、リージョンごとに適切なポリシーストアを選択できます。ただし、各リージョンで同じポリシーストアエイリアス名を持つポリシーストアエイリアスを作成する方がはるかに簡単です。ポリシーストアのエイリアス名では大文字と小文字が区別されることに注意してください。

------
#### [ AWS CLI ]

```
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222
```

------

次に、コードでポリシーストアエイリアスを使用します。コードが各リージョンで実行されると、ポリシーストアエイリアスはそのリージョン内の関連するポリシーストアを参照します。

------
#### [ AWS CLI ]

```
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
```

------

ただし、ポリシーストアのエイリアスが削除されるリスクがあります。この場合、アプリケーションがポリシーストアのエイリアス名を使用しようとすると失敗し、ポリシーストアのエイリアスを再作成または更新する必要がある場合があります。このリスクを軽減するには、アプリケーションで使用するポリシーストアエイリアスを管理するアクセス許可をプリンシパルに付与することに注意してください。

# ポリシーストアエイリアスへのアクセスの制御
<a name="policy-store-aliases-control-access"></a>

ポリシーストアエイリアスを管理するプリンシパルには、それらのポリシーストアエイリアス、および一部のオペレーションでは、ポリシーストアエイリアスが関連付けられているポリシーストアを操作するアクセス許可が必要です。これらのアクセス許可は、 ポリシーを使用して IAM 指定できます。

以下のセクションでは、ポリシーストアエイリアスの作成と管理に必要なアクセス許可について説明します。

## verifiedpermissions:CreatePolicyStoreAlias
<a name="alias-access-create"></a>

ポリシーストアエイリアスを作成するには、プリンシパルに、ポリシーストアエイリアスと関連付けられたポリシーストアの両方に対して次のアクセス許可が必要です。
+ `verifiedpermissions:CreatePolicyStoreAlias` ポリシーストアエイリアスの 。このアクセス許可を、 IAM ポリシーストアエイリアスの作成が許可されているプリンシパルにアタッチされた ポリシーに付与します。

  次のポリシーステートメントの例では、 `Resource`要素内の特定のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます`"sample*"`。`Resource` の値を指定`"*"`して、プリンシパルが AWS アカウント および リージョンにポリシーストアエイリアスを作成できるようにすることもできます。

  ```
  {
    "Sid": "IAMPolicyForCreateAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
  }
  ```
+ `verifiedpermissions:CreatePolicyStoreAlias` 関連付けられたポリシーストアの 。このアクセス許可は、 IAM ポリシーで指定する必要があります。

  ```
  {
    "Sid": "PolicyStorePermissionForAlias",
    "Effect": "Allow",
    "Action": "verifiedpermissions:CreatePolicyStoreAlias",
    "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
  }
  ```

## verifiedpermissions:GetPolicyStoreAlias
<a name="alias-access-get"></a>

特定のポリシーストアエイリアスの詳細を取得するには、プリンシパルに IAM ポリシー内のポリシーストアエイリアスに対する`verifiedpermissions:GetPolicyStoreAlias`アクセス許可が必要です。

次のポリシーステートメントの例では、特定のポリシーストアエイリアスを取得するアクセス許可をプリンシパルに付与します。

```
{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## verifiedpermissions:ListPolicyStoreAliases
<a name="alias-access-view"></a>

 AWS アカウント および リージョンのポリシーストアエイリアスを一覧表示するには、プリンシパルに IAM ポリシーの`verifiedpermissions:ListPolicyStoreAliases`アクセス許可が必要です。このポリシーは特定のポリシーストアまたはポリシーストアエイリアスリソースに関連付けられていないため、ポリシーのリソース要素の値は である必要があります`"*"`。

たとえば、次の IAM ポリシーステートメントは、 内のすべてのポリシーストアエイリアスを一覧表示するアクセス許可をプリンシパルに付与します AWS アカウント。

```
{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}
```

## verifiedpermissions:DeletePolicyStoreAlias
<a name="alias-access-delete"></a>

ポリシーストアエイリアスを削除するには、プリンシパルにポリシーストアエイリアスのみのアクセス許可が必要です。

**注記**  
ポリシーストアエイリアスを削除しても、関連するポリシーストアには影響しませんが、ポリシーストアエイリアスを参照するアプリケーションはエラーを受け取ります。ポリシーストアエイリアスを誤って削除した場合は、24 時間の予約期間後に再作成できます。

プリンシパルには、ポリシーストアエイリアスの`verifiedpermissions:DeletePolicyStoreAlias`アクセス許可が必要です。このアクセス許可を、 IAM ポリシーストアエイリアスの削除が許可されているプリンシパルにアタッチされた ポリシーに付与します。

次のポリシーステートメントの例では、 `Resource`要素のポリシーストアエイリアスを指定します。ただし、複数のポリシーストアエイリアス ARNs を一覧表示したり、 などのポリシーストアエイリアスパターンを指定したりできます`"sample*"`。`Resource` の値を指定`"*"`して、プリンシパルが AWS アカウント および リージョンのポリシーストアエイリアスを削除できるようにすることもできます。

```
{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}
```

## Policy Store エイリアスのアクセス許可の制限
<a name="alias-access-limiting"></a>

ポリシーストアエイリアスを使用して、`policyStoreId`フィールドを入力として受け入れる任意のオペレーションでポリシーストアを参照できます。これを行うと、Amazon Verified Permissions はポリシーストアエイリアス`verifiedpermissions:GetPolicyStoreAlias`に対して を、関連付けられたポリシーストアに対してリクエストされたオペレーションを承認します。

たとえば、ポリシーストアエイリアスを使用して`IsAuthorized`オペレーションを実行する場合、プリンシパルには以下の両方が必要です。
+ `verifiedpermissions:GetPolicyStoreAlias` ポリシーストアエイリアスの アクセス許可
+ `verifiedpermissions:IsAuthorized` 関連付けられたポリシーストアの アクセス許可

次のポリシー例では、特定のポリシーストアエイリアス`IsAuthorized`を使用して を呼び出すアクセス許可を付与します。

```
{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}
```

プリンシパルが使用できるポリシーストアエイリアスを制限するには、 アクセス`verifiedpermissions:GetPolicyStoreAlias`許可を制限します。たとえば、次のポリシーでは、プリンシパルが で始まるもの以外のポリシーストアエイリアスを使用することを許可します`Restricted`。

```
{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}
```