View a markdown version of this page

Controle do acesso aos aliases do repositório de políticas - Amazon Verified Permissions
permissões verificadas: CreatePolicyStoreAliaspermissões verificadas: GetPolicyStoreAliaspermissões verificadas: ListPolicyStoreAliasespermissões verificadas: DeletePolicyStoreAliasLimitando as permissões do alias do repositório de políticas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso aos aliases do repositório de políticas

Os diretores que gerenciam os aliases do repositório de políticas devem ter permissão para interagir com esses aliases do repositório de políticas e, para algumas operações, com o repositório de políticas ao qual o alias do repositório de políticas está associado. Você pode fornecer essas permissões usando IAM políticas.

As seções a seguir descrevem as permissões necessárias para criar e gerenciar aliases do repositório de políticas.

permissões verificadas: CreatePolicyStoreAlias

Para criar um alias do repositório de políticas, o diretor precisa das seguintes permissões para o alias do repositório de políticas e para o repositório de políticas associado.

  • verifiedpermissions:CreatePolicyStoreAliaspara o alias do repositório de políticas. Forneça essa permissão em uma IAM política anexada ao principal que tem permissão para criar o alias do repositório de políticas.

    O exemplo de declaração de política a seguir especifica um alias de armazenamento de políticas específico em um Resource elemento. Mas você pode listar vários alias do repositório de políticas ARNs ou especificar um padrão de alias do repositório de políticas, como. "sample*" Você também pode especificar um Resource valor de "*" para permitir que o principal crie qualquer alias de armazenamento de políticas na região Conta da AWS e.

    {
  "Sid": "IAMPolicyForCreateAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

  • verifiedpermissions:CreatePolicyStoreAliaspara o repositório de políticas associado. Essa permissão deve ser fornecida em uma IAM política.

    {
  "Sid": "PolicyStorePermissionForAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:CreatePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

permissões verificadas: GetPolicyStoreAlias

Para obter detalhes sobre um alias de armazenamento de políticas específico, o diretor deve ter verifiedpermissions:GetPolicyStoreAlias permissão para o alias do repositório de políticas em uma IAM política.

O exemplo de declaração de política a seguir dá ao principal permissão para obter um alias de armazenamento de políticas específico.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

permissões verificadas: ListPolicyStoreAliases

Para listar os aliases do repositório de políticas na região Conta da AWS e, o diretor deve ter verifiedpermissions:ListPolicyStoreAliases permissão em uma IAM política. Como essa política não está relacionada a nenhum repositório de políticas específico ou recurso de alias do repositório de políticas, o valor do elemento de recurso na política deve ser"*".

Por exemplo, a declaração de IAM política a seguir dá ao principal permissão para listar todos os aliases do repositório de políticas no Conta da AWS.

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

permissões verificadas: DeletePolicyStoreAlias

Para excluir um alias do repositório de políticas, o diretor precisa de permissão apenas para o alias do repositório de políticas.

nota

A exclusão de um alias do repositório de políticas não tem efeito no repositório de políticas associado, embora os aplicativos que fazem referência ao alias do repositório de políticas recebam erros. Se você excluir por engano um alias do repositório de políticas, poderá recriá-lo após o período de reserva de 24 horas.

O diretor precisa de verifiedpermissions:DeletePolicyStoreAlias permissão para o alias do repositório de políticas. Forneça essa permissão em uma IAM política anexada ao principal que tem permissão para excluir o alias do repositório de políticas.

O exemplo de declaração de política a seguir especifica o alias do repositório de políticas em um Resource elemento. Mas você pode listar vários alias do repositório de políticas ARNs ou especificar um padrão de alias do repositório de políticas, como. "sample*" Você também pode especificar um Resource valor de "*" para permitir que o principal exclua qualquer alias do repositório de políticas na região Conta da AWS e.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Limitando as permissões do alias do repositório de políticas

Você pode usar um alias de armazenamento de políticas para referenciar um repositório de políticas em qualquer operação que aceite um policyStoreId campo como entrada. Quando você faz isso, o Amazon Verified Permissions autoriza verifiedpermissions:GetPolicyStoreAlias o alias do repositório de políticas e a operação solicitada no armazenamento de políticas associado.

Por exemplo, se a IsAuthorized operação for executada usando um alias de armazenamento de políticas, o principal precisará de ambos:

  • verifiedpermissions:GetPolicyStoreAliaspermissão para o alias do repositório de políticas

  • verifiedpermissions:IsAuthorizedpermissão para o repositório de políticas associado

O exemplo de política a seguir concede permissão para chamar IsAuthorized usando um alias específico do repositório de políticas.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

Para limitar quais aliases de armazenamento de políticas um diretor pode usar, restrinja a verifiedpermissions:GetPolicyStoreAlias permissão. Por exemplo, a política a seguir permite que o diretor use qualquer alias do repositório de políticas, exceto aqueles que começam comRestricted.

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}