기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Verified Access 정책 예제
<a name="trust-data-iam-add-pol"></a>

Verified Access 정책을 사용하여 특정 사용자 및 디바이스에 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다.

**Topics**
+ [예제 1: IAM Identity Center에서 그룹에 액세스 권한 부여](#example-policy-iam-identity-center)
+ [예제 2: 서드 파티 공급자에서 그룹에 액세스 권한 부여](#example-policy-oidc-provider)
+ [예제 3: CrowdStrike를 사용하여 액세스 권한 부여](#example-policy-crowdstrike)
+ [예제 4: 특정 IP 주소 허용 또는 거부](#example-policy-ip-address)

## 예제 1: IAM Identity Center에서 그룹에 액세스 권한 부여
<a name="example-policy-iam-identity-center"></a>

를 사용할 때는 IDs를 사용하여 그룹을 참조하는 AWS IAM Identity Center것이 좋습니다. 이렇게 하면 그룹 이름을 변경할 경우 정책 문의 실행이 종료되는 것을 방지할 수 있습니다.

다음 예제 정책은 확인된 이메일 주소가 있는 지정된 그룹의 사용자에게만 액세스를 허용합니다. 그룹 ID는 c242c5b0-6081-1845-6fa8-6e0d9513c107입니다.

```
permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};
```

다음 예제 정책은 사용자가 지정된 그룹에 속하고 확인된 이메일 주소를 갖고 있으며 Jamf 디바이스 위험 점수가 `LOW`인 경우에만 액세스를 허용합니다.

```
permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};
```

신뢰 데이터에 대한 자세한 내용은 [AWS IAM Identity Center Verified·Access 신뢰 데이터에 대한 컨텍스트](trust-data-iam.md) 섹션을 참조하세요.

## 예제 2: 서드 파티 공급자에서 그룹에 액세스 권한 부여
<a name="example-policy-oidc-provider"></a>

다음 예제 정책은 사용자가 지정된 그룹에 속하고 확인된 이메일 주소를 갖고 있으며 Jamf 디바이스 위험 점수가 LOW인 경우에만 액세스를 허용합니다. 그룹의 이름은 “finance”입니다.

```
permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};
```

신뢰 데이터에 대한 자세한 내용은 [Verified Access 신뢰 데이터의 서드 파티 신뢰 공급자 컨텍스트](trust-data-third-party-trust.md) 섹션을 참조하세요.

## 예제 3: CrowdStrike를 사용하여 액세스 권한 부여
<a name="example-policy-crowdstrike"></a>

다음 예제 정책은 전체 평가 점수가 50점을 넘을 때 액세스를 허용합니다.

```
permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};
```

## 예제 4: 특정 IP 주소 허용 또는 거부
<a name="example-policy-ip-address"></a>

다음 예제 정책은 지정된 IP 주소의 HTTP 요청을 허용합니다.

```
permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};
```

다음 예제 정책은 지정된 IP 주소의 HTTP 요청을 거부합니다.

```
forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};
```

다음 예제 정책은 지정된 IP 주소의 TCP 요청을 허용합니다.

```
permit(principal, action, resource) 
when {
    context.tcp_flow.client_ip == "192.0.2.1"
};
```