Verwendet die Klammernotation, um auf Token-Attribute zu verweisen Verwendet Punktnotation, um auf Attribute zu verweisen Spiegelt Amazon Cognito Cognito-ID-Token-Attribute wider Spiegelt die Attribute des OIDC-ID-Tokens wider Spiegelt die Attribute des Amazon Cognito Cognito-Zugriffstokens wider Spiegelt die Attribute von OIDC-Zugriffstoken wider

Beispielrichtlinien für Amazon Verified Permissions

Bei einigen der hier aufgeführten Richtlinienbeispiele handelt es sich um grundlegende Richtlinienbeispiele von Cedar, und andere beziehen sich auf verifizierte Berechtigungen. Die grundlegenden Links verweisen auf den Cedar Policy Language Reference Guide und sind dort enthalten. Weitere Informationen zur Cedar-Policy-Syntax finden Sie unter Basic Policy Construction in Cedar im Cedar Policy Language Reference Guide.

Beispiele für Richtlinien

Ermöglicht den Zugriff auf einzelne Entitäten
Ermöglicht den Zugriff auf Gruppen von Entitäten
Ermöglicht den Zugriff für jede Entität
Ermöglicht den Zugriff auf Attribute einer Entität (ABAC)
Verweigert den Zugriff
Verwendet die Klammernotation, um auf Token-Attribute zu verweisen
Verwendet Punktnotation, um auf Attribute zu verweisen
Spiegelt Amazon Cognito Cognito-ID-Token-Attribute wider
Spiegelt die Attribute des OIDC-ID-Tokens wider
Spiegelt die Attribute des Amazon Cognito Cognito-Zugriffstokens wider
Spiegelt die Attribute von OIDC-Zugriffstoken wider

Verwendet die Klammernotation, um auf Token-Attribute zu verweisen

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die die Klammernotation verwendet, um auf Token-Attribute zu verweisen.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Verwendet Punktnotation, um auf Attribute zu verweisen

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die Punktnotation verwendet, um auf Attribute zu verweisen.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Spiegelt Amazon Cognito Cognito-ID-Token-Attribute wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf ID-Token-Attribute von Amazon Cognito verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Spiegelt die Attribute des OIDC-ID-Tokens wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf ID-Token-Attribute eines OIDC-Anbieters verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Spiegelt die Attribute des Amazon Cognito Cognito-Zugriffstokens wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die auf Zugriffstoken-Attribute von Amazon Cognito verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Spiegelt die Attribute von OIDC-Zugriffstoken wider

Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf Zugriffstoken-Attribute eines OIDC-Anbieters verweist.

Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien in Verified Permissions finden Sie unter Amazon Cognito Cognito-Token einem Schema zuordnen und OIDC-Token dem Schema zuordnen.


permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Testen von -Richtlinien

Richtlinienvorlagen und mit Vorlagen verknüpfte Richtlinien