本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Verified Access 策略示例
您可以使用 Verified Access 策略,将应用程序的访问权限授予特定用户和设备。
**Topics**
+ [示例 1:向 IAM Identity Center 中的组授予访问权限](#example-policy-iam-identity-center)
+ [示例 2:向第三方提供商中的组授予访问权限](#example-policy-oidc-provider)
+ [示例 3:使用授予访问权限 CrowdStrike](#example-policy-crowdstrike)
+ [示例 4:允许或拒绝特定 IP 地址](#example-policy-ip-address)
## 示例 1:向 IAM Identity Center 中的组授予访问权限
使用时 AWS IAM Identity Center,最好使用群组来引用群组 IDs。这有助于避免因更改组名称而违反策略声明。
以下示例策略仅允许指定组中拥有经过验证的电子邮件地址的用户进行访问。组 ID 是 c242c5b0-6081-1845-6fa8-6e0d9513c107。
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
};
```
以下示例策略仅在用户属于特定组、拥有经过验证的电子邮件地址且 Jamf 设备风险评分为 `LOW` 时才允许访问。
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
&& context.jamf.risk == "LOW"
};
```
有关信任数据的更多信息,请参阅[AWS IAM Identity Center 已验证访问信任数据的上下文](trust-data-iam.md)。
## 示例 2:向第三方提供商中的组授予访问权限
以下示例策略仅在用户属于特定组、拥有经过验证的电子邮件地址且 Jamf 设备风险评分为 LOW 时才允许访问。组的名称为“finance”。
```
permit(principal,action,resource)
when {
context.policy-reference-name.groups.contains("finance")
&& context.policy-reference-name.email_verified == true
&& context.jamf.risk == "LOW"
};
```
有关信任数据的更多信息,请参阅[Verified Access 信任数据的第三方信任提供商上下文](trust-data-third-party-trust.md)。
## 示例 3:使用授予访问权限 CrowdStrike
以下示例策略在总体评估分数大于 50 时允许访问。
```
permit(principal,action,resource)
when {
context.crwd.assessment.overall > 50
};
```
## 示例 4:允许或拒绝特定 IP 地址
以下示例策略允许来自指定 IP 地址的 HTTP 请求。
```
permit(principal, action, resource)
when {
context.http_request.client_ip == "192.0.2.1"
};
```
以下示例策略拒绝来自指定 IP 地址的 HTTP 请求。
```
forbid(principal,action,resource)
when {
ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32"))
};
```
以下示例策略允许来自指定 IP 地址的 TCP 请求。
```
permit(principal, action, resource)
when {
context.tcp_flow.client_ip == "192.0.2.1"
};
```