本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon Verified Permissions 政策 *政策*是允許或禁止*委託*人對*資源*採取一或多個*動作*的陳述式。每個政策都會獨立於其他政策進行評估。如需如何建構和評估 Cedar 政策的詳細資訊,請參閱[《Cedar 政策語言參考指南》中的針對結構描述的 Cedar 政策驗證](https://docs.cedarpolicy.com/policies/validation.html)。 您可以選擇性地將政策名稱指派給政策。對於政策存放區中的所有政策,政策名稱必須是唯一的,字首必須是 `name/`。您可以在接受`policyId`參數的控制平面操作中使用政策名稱取代政策 ID。下列範例使用政策名稱來擷取具有 的政策`GetPolicy`。 ``` $ aws verifiedpermissions get-policy \ --policy-id name/example-policy \ --policy-store-id PSEXAMPLEabcdefg111111 ``` **重要** 當您撰寫參考委託人、資源和動作的 Cedar 政策時,您可以定義用於每個元素的唯一識別符。我們強烈建議您遵循下列最佳實務: **對所有主體和資源識別符使用通用唯一識別符 (UUIDs)。** 例如,如果使用者`jane`離開公司,而您稍後讓其他人使用名稱 `jane`,則該新使用者會自動存取仍然參考 的政策授予的所有內容`User::"jane"`。Cedar 無法區分新使用者和舊使用者。這同時適用於主體和資源識別符。一律使用保證唯一且永遠不會重複使用的識別符,以確保您不會因為政策中存在舊識別符而意外授予存取權。 如果您為實體使用 UUID,我們建議您使用 // 評論指標和實體的「易記」名稱來遵循它。這有助於讓您的政策更容易理解。例如:主體 == Role::"a1b2c3d4-e5f6-a1b2-c3d4-EXAMPLE11111", // 管理員 **請勿在主體或資源的唯一識別符中包含個人識別、機密或敏感資訊。**這些識別符包含在 AWS CloudTrail 線索中共用的日誌項目中。 **Topics** + [建立 Amazon Verified Permissions 靜態政策](policies-create.md) + [編輯 Amazon Verified Permissions 靜態政策](policies-edit.md) + [新增內容](context.md) + [使用 Amazon Verified Permissions 測試工作台](test-bench.md) + [Amazon Verified Permissions 範例政策](policies-examples.md)