기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

정책 스토어 별칭에 대한 액세스 제어

정책 스토어 별칭을 관리하는 보안 주체는 해당 정책 스토어 별칭과 상호 작용할 수 있는 권한이 있어야 하며, 일부 작업의 경우 정책 스토어 별칭이 연결된 정책 스토어가 있어야 합니다. 정책을 사용하여 IAM 이러한 권한을 제공할 수 있습니다.

다음 섹션에서는 정책 스토어 별칭을 생성하고 관리하는 데 필요한 권한을 설명합니다.

verifiedpermissions:CreatePolicyStoreAlias

정책 스토어 별칭을 생성하려면 보안 주체는 정책 스토어 별칭과 연결된 정책 스토어 모두에 대해 다음 권한이 필요합니다.

verifiedpermissions:GetPolicyStoreAlias

특정 정책 스토어 별칭에 대한 세부 정보를 가져오려면 보안 주체에게 IAM 정책의 정책 스토어 별칭에 대한 verifiedpermissions:GetPolicyStoreAlias 권한이 있어야 합니다.

다음 예제 정책 문은 보안 주체에게 특정 정책 스토어 별칭을 가져올 수 있는 권한을 부여합니다.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

verifiedpermissions:ListPolicyStoreAliases

AWS 계정 및 리전에서 정책 스토어 별칭을 나열하려면 보안 주체에게 IAM 정책에 대한 verifiedpermissions:ListPolicyStoreAliases 권한이 있어야 합니다. 이 정책은 특정 정책 스토어 또는 정책 스토어 별칭 리소스와 관련이 없으므로 정책의 리소스 요소 값은 여야 합니다"*".

예를 들어 다음 IAM 정책 문은 보안 주체에게의 모든 정책 스토어 별칭을 나열할 수 있는 권한을 부여합니다 AWS 계정.

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

verifiedpermissions:DeletePolicyStoreAlias

정책 스토어 별칭을 삭제하려면 보안 주체에게 정책 스토어 별칭에 대한 권한만 필요합니다.

보안 주체는 정책 스토어 별칭에 대한 verifiedpermissions:DeletePolicyStoreAlias 권한이 필요합니다. 정책 스토어 IAM 별칭을 삭제할 수 있는 보안 주체에 연결된 정책에이 권한을 제공합니다.

다음 예제 정책 문은 Resource 요소의 정책 스토어 별칭을 지정합니다. 그러나 여러 정책 스토어 별칭 ARNs을 나열하거나와 같은 정책 스토어 별칭 패턴을 지정할 수 있습니다"sample*". 보안 주체가 AWS 계정 및 리전에서 정책 스토어 별칭을 삭제할 수 "*" 있도록 Resource 값을 지정할 수도 있습니다.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

정책 스토어 별칭 권한 제한

정책 스토어 별칭을 사용하여 policyStoreId 필드를 입력으로 수락하는 모든 작업에서 정책 스토어를 참조할 수 있습니다. 이렇게 하면 Amazon Verified Permissions는 정책 스토어 별칭에 verifiedpermissions:GetPolicyStoreAlias 대해 권한을 부여하고 연결된 정책 스토어에 대해 요청된 작업을 승인합니다.

예를 들어 정책 스토어 별칭을 사용하여 IsAuthorized 작업을 수행하는 경우 보안 주체는 다음 둘 다 필요합니다.

다음 예제 정책은 특정 정책 스토어 별칭을 IsAuthorized 사용하여를 호출할 수 있는 권한을 부여합니다.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

보안 주체가 사용할 수 있는 정책 스토어 별칭을 제한하려면 verifiedpermissions:GetPolicyStoreAlias 권한을 제한합니다. 예를 들어 다음 정책은 보안 주체가 로 시작하는 별칭을 제외한 모든 정책 스토어 별칭을 사용하도록 허용합니다Restricted.

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}