Beispielrichtlinien für Amazon Verified Permissions - Amazon Verified Permissions
Verwendet die Klammernotation, um auf Token-Attribute zu verweisenVerwendet Punktnotation, um auf Attribute zu verweisenSpiegelt Amazon Cognito ID-Token-Attribute widerSpiegelt die Attribute von OIDC-ID-Tokens widerSpiegelt Attribute von Amazon Cognito Zugriffstoken widerSpiegelt die Attribute von OIDC-Zugriffstoken wider

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispielrichtlinien für Amazon Verified Permissions

Bei einigen der hier aufgeführten Richtlinienbeispiele handelt es sich um grundlegende Richtlinienbeispiele von Cedar, und bei anderen handelt es sich um spezifische Richtlinien für verifizierte Berechtigungen. Die grundlegenden Links verweisen auf den Cedar Policy Language Reference Guide und sind dort enthalten. Weitere Informationen zur Cedar-Policy-Syntax finden Sie unter Basic Policy Construction in Cedar im Cedar Policy Language Reference Guide.

Beispiele für Richtlinien

Verwendet die Klammernotation, um auf Token-Attribute zu verweisen

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die die Klammernotation verwendet, um auf Token-Attribute zu verweisen.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Verwendet Punktnotation, um auf Attribute zu verweisen

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die Punktnotation verwendet, um auf Attribute zu verweisen.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Spiegelt Amazon Cognito ID-Token-Attribute wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, aus der ID-Token-Attribute referenziert Amazon Cognito werden.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Spiegelt die Attribute von OIDC-ID-Tokens wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf ID-Token-Attribute eines OIDC-Anbieters verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Spiegelt Attribute von Amazon Cognito Zugriffstoken wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, von der Zugriffstoken-Attribute referenziert Amazon Cognito werden.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Spiegelt die Attribute von OIDC-Zugriffstoken wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf Zugriffstoken-Attribute eines OIDC-Anbieters verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter Zuordnen von Amazon Cognito Tokens zum Schema und Zuordnen von OIDC-Token zum Schema.

permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};