本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制對政策存放區別名的存取
管理政策存放區別名的委託人必須具有與這些政策存放區別名互動的許可,並且對於某些操作,必須擁有與政策存放區別名相關聯的政策存放區。您可以使用 政策提供這些許可 IAM 。
下列各節說明建立和管理政策存放區別名所需的許可。
verifiedpermissions:CreatePolicyStoreAlias
若要建立政策存放區別名,委託人需要政策存放區別名和相關聯政策存放區的下列許可。
-
verifiedpermissions:CreatePolicyStoreAlias適用於政策存放區別名。在連接到允許建立政策存放區別名之主體的政策中提供 IAM 此許可。下列範例政策陳述式會指定
Resource元素中的特定政策存放區別名。但是,您可以列出多個政策存放區別名 ARNs,或指定政策存放區別名模式,例如"sample*"。您也可以指定Resource的值"*",以允許委託人在 AWS 帳戶 和 區域中建立任何政策存放區別名。{ "Sid": "IAMPolicyForCreateAlias", "Effect": "Allow", "Action": "verifiedpermissions:CreatePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" } -
verifiedpermissions:CreatePolicyStoreAlias用於相關聯的政策存放區。此許可必須在 IAM 政策中提供。{ "Sid": "PolicyStorePermissionForAlias", "Effect": "Allow", "Action": "verifiedpermissions:CreatePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111" }
verifiedpermissions:GetPolicyStoreAlias
若要取得特定政策存放區別名的詳細資訊,委託人必須具有 IAM 政策中政策存放區別名的verifiedpermissions:GetPolicyStoreAlias許可。
下列範例政策陳述式提供主體取得特定政策存放區別名的許可。
{ "Sid": "IAMPolicyForGetAlias", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }
verifiedpermissions:ListPolicyStoreAliases
若要列出 AWS 帳戶 和 區域中的政策存放區別名,委託人必須在 IAM 政策中具有 verifiedpermissions:ListPolicyStoreAliases 許可。由於此政策與任何特定政策存放區或政策存放區別名資源無關,因此政策中的資源元素值必須為 "*"。
例如,下列 IAM 政策陳述式提供委託人在 中列出所有政策存放區別名的許可 AWS 帳戶。
{ "Sid": "IAMPolicyForListingAliases", "Effect": "Allow", "Action": "verifiedpermissions:ListPolicyStoreAliases", "Resource": "*" }
verifiedpermissions:DeletePolicyStoreAlias
若要刪除政策存放區別名,委託人只需要政策存放區別名的許可。
注意
刪除政策存放區別名不會影響相關聯的政策存放區,但參考政策存放區別名的應用程式會收到錯誤。如果您錯誤地刪除政策存放區別名,您可以在 24 小時保留期間之後重新建立。
委託人需要政策存放區別名的verifiedpermissions:DeletePolicyStoreAlias許可。在連接到允許刪除政策存放區別名之主體的政策中提供 IAM 此許可。
下列範例政策陳述式指定 Resource元素中的政策存放區別名。但是,您可以列出多個政策存放區別名 ARNs,或指定政策存放區別名模式,例如 "sample*"。您也可以指定 Resource的值"*",以允許委託人刪除 AWS 帳戶 和 區域中的任何政策存放區別名。
{ "Sid": "IAMPolicyForDeleteAlias", "Effect": "Allow", "Action": "verifiedpermissions:DeletePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }
限制政策存放區別名許可
您可以使用政策存放區別名,在任何接受policyStoreId欄位做為輸入的操作中參考政策存放區。當您這麼做時,Amazon Verified Permissions 會verifiedpermissions:GetPolicyStoreAlias針對政策存放區別名授權 ,並針對相關聯的政策存放區授權請求的操作。
例如,如果使用政策存放區別名執行IsAuthorized操作,委託人需要兩者:
-
verifiedpermissions:GetPolicyStoreAlias政策存放區別名的 許可 -
verifiedpermissions:IsAuthorized相關政策存放區的 許可
下列範例政策會授予IsAuthorized使用特定政策存放區別名呼叫 的許可。
{ "Sid": "IAMPolicyForAliasUsage", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }, { "Sid": "IAMPolicyForPolicyStoreOperation", "Effect": "Allow", "Action": "verifiedpermissions:IsAuthorized", "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111" }
若要限制委託人可以使用的政策存放區別名,請限制 verifiedpermissions:GetPolicyStoreAlias許可。例如,下列政策允許委託人使用任何政策存放區別名,但開頭為 的政策存放區別名除外Restricted。
{ "Sid": "IAMPolicyForAliasAllow", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*" }, { "Sid": "IAMPolicyForAliasDeny", "Effect": "Deny", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*" }
