View a markdown version of this page

Aliases da loja de políticas de permissões verificadas da Amazon - Amazon Verified Permissions
Propriedades dos aliases do repositório de políticas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aliases da loja de políticas de permissões verificadas da Amazon

Um alias de armazenamento de políticas é um nome amigável para um repositório de políticas. Por exemplo, os aliases do repositório de políticas permitem que você se refira a um repositório de políticas usando policy-store-alias/example-policy-store em vez dePSEXAMPLEabcdefg111111. Os aliases do repositório de políticas podem ser usados em qualquer operação de Permissões Verificadas que aceite um parâmetro policyStoreId de entrada.

Você pode criar um alias de armazenamento de políticas para um repositório de políticas usando a CreatePolicyStoreAlias API ou usando o AWS::VerifiedPermissions::PolicyStoreAlias CloudFormation recurso.

A API Amazon Verified Permissions fornece controle total dos aliases do armazenamento de políticas em cada Conta da AWS região. A API inclui operações para criar um alias de armazenamento de políticas (CreatePolicyStoreAlias), visualizar nomes de alias de armazenamento de políticas e alias de armazenamento de políticas ARNs (GetPolicyStoreAlias,ListPolicyStoreAliases) e excluir um alias de armazenamento de políticas (). DeletePolicyStoreAlias

Tópicos

Propriedades dos aliases do repositório de políticas

Como os aliases de armazenamento de políticas funcionam nas Permissões Verificadas da Amazon.

Um alias de armazenamento de políticas é um recurso independente AWS

Um alias de armazenamento de políticas não é propriedade de um repositório de políticas. As ações que você executa no alias do repositório de políticas não afetam o armazenamento de políticas associado. Você pode excluir o alias do repositório de políticas sem nenhum efeito no repositório de políticas associado. Se você excluir um repositório de políticas, todos os aliases do repositório de políticas associados a esse repositório de políticas também serão excluídos.

Cada alias do repositório de políticas tem um Amazon Resource Name (ARN) que identifica exclusivamente o alias do repositório de políticas. Se você especificar um alias do repositório de políticas como o recurso em uma política do IAM, a política se referirá ao alias do armazenamento de políticas, não ao armazenamento de políticas associado.

Cada alias do repositório de políticas tem dois formatos

Ao criar um alias do repositório de políticas, você especifica o nome do alias do repositório de políticas. O Amazon Verified Permissions cria o alias ARN do repositório de políticas para você.

  • Um alias de armazenamento de políticas ARN é um nome de recurso da Amazon (ARN) que identifica exclusivamente o alias do repositório de políticas.

    # Alias ARN
arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store

  • Um nome de alias do repositório de políticas que é exclusivo na região Conta da AWS e. Na API de permissões verificadas da Amazon, o nome do alias do repositório de políticas é sempre prefixado por. policy-store-alias/

    # Alias name
policy-store-alias/example-policy-store
Os aliases do repositório de políticas não são secretos

Os aliases do repositório de políticas podem ser exibidos em texto simples em CloudTrail registros e outras saídas. Não inclua informações confidenciais ou sigilosas no nome do alias do repositório de políticas.

Cada alias do repositório de políticas está associado a um repositório de políticas por vez

O alias do repositório de políticas e seu repositório de políticas associado devem pertencer à mesma Conta da AWS região. Você pode associar um alias do repositório de políticas a qualquer repositório de políticas na mesma Conta da AWS região.

Por exemplo, essa ListPolicyStoreAliases saída mostra que o alias do repositório de example-policy-store políticas está associado a exatamente um repositório de políticas de destino, representado pela policyStoreId propriedade.

{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
Vários aliases podem ser associados ao mesmo repositório de políticas

Por exemplo, você pode associar os example-policy-store-2 aliases example-policy-store e ao mesmo repositório de políticas.

[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]
Um alias de armazenamento de políticas deve ser exclusivo em uma Conta da AWS região

Por exemplo, você pode ter somente um alias de armazenamento de políticas com o nome example-policy-store em cada Conta da AWS região. Os aliases do repositório de políticas diferenciam maiúsculas de minúsculas. Você não pode alterar o nome do alias de um repositório de políticas. No entanto, você pode excluir o alias do repositório de políticas e criar um novo alias do repositório de políticas com o nome desejado após o término do período de reserva de 24 horas.

Você pode criar aliases de armazenamento de políticas com o mesmo nome em diferentes regiões. Cada alias de armazenamento de políticas terá um ARN exclusivo. Se seu código se referir a um alias de armazenamento de políticaspolicy-store-alias/example-policy-store, como, você poderá executá-lo em várias regiões. Em cada região, ele usa um repositório de políticas diferente.

Os aliases do repositório de políticas são excluídos temporariamente

Quando um alias do repositório de políticas é excluído, o nome do alias do repositório de políticas é reservado por um período de 24 horas. Se você tentar criar um alias de armazenamento de políticas com o mesmo nome durante esse período, a solicitação será rejeitada. Durante esse período, GetPolicyStoreAlias retorna o alias do repositório de políticas com o PendingDeletion estado.

Você pode usar aliases para identificar repositórios de políticas

Você pode usar um alias de armazenamento de políticas para identificar um repositório de políticas em todas as operações que aceitam um policyStoreId (por exemplo,IsAuthorized). Nesses casos, o nome do alias do repositório de políticas deve ser prefixado com. policy-store-alias/ Os aliases do repositório de políticas não podem ser usados para identificar um repositório de políticas para a DeletePolicyStore operação.

Você não pode usar um nome de alias do repositório de políticas ou o ARN do alias do repositório de políticas para identificar um repositório de políticas no Resource elemento de uma política do IAM. Para controlar o acesso a um repositório de políticas quando ele é referenciado por meio de um alias do repositório de políticas, consulte. Controle do acesso aos aliases do repositório de políticas