Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispielrichtlinien für Amazon Verified Permissions
Bei einigen der hier aufgeführten Richtlinienbeispiele handelt es sich um grundlegende Richtlinienbeispiele von Cedar, und andere beziehen sich auf verifizierte Berechtigungen. Die grundlegenden Links verweisen auf den Cedar Policy Language Reference Guide und sind dort enthalten. Weitere Informationen zur Cedar-Policy-Syntax finden Sie unter [Basic Policy Construction in Cedar](https://docs.cedarpolicy.com/policies/syntax-policy.html) im Cedar Policy Language Reference Guide.
**Beispiele für Richtlinien**
+ [Ermöglicht den Zugriff auf einzelne Entitäten](https://docs.cedarpolicy.com/policies/policy-examples.html#allow-acces-indivuals)
+ [Ermöglicht den Zugriff auf Gruppen von Entitäten](https://docs.cedarpolicy.com/policies/policy-examples.html#allow-acces-groups)
+ [Ermöglicht den Zugriff für jede Entität](https://docs.cedarpolicy.com/policies/policy-examples.html#allow-any)
+ [Ermöglicht den Zugriff auf Attribute einer Entität (ABAC)](https://docs.cedarpolicy.com/policies/policy-examples.html#allow-abac)
+ [Verweigert den Zugriff](https://docs.cedarpolicy.com/policies/policy-examples.html#deny-access)
+ [Verwendet die Klammernotation, um auf Token-Attribute zu verweisen](#policies-examples-brackets)
+ [Verwendet Punktnotation, um auf Attribute zu verweisen](#policies-examples-dot)
+ [Spiegelt Amazon Cognito ID-Token-Attribute wider](#policies-examples-cognito-id)
+ [Spiegelt die Attribute von OIDC-ID-Tokens wider](#policies-examples-oidc-id)
+ [Spiegelt Attribute von Amazon Cognito Zugriffstoken wider](#policies-examples-cognito-access)
+ [Spiegelt die Attribute von OIDC-Zugriffstoken wider](#policies-examples-oidc-access)
## Verwendet die Klammernotation, um auf Token-Attribute zu verweisen
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die die Klammernotation verwendet, um auf Token-Attribute zu verweisen.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token zum](oidc-map-token-to-schema.md) Schema.
```
permit (
principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
action,
resource
) when {
principal["cognito:username"] == "alice" &&
principal["custom:employmentStoreCode"] == "petstore-dallas" &&
principal has email && principal.email == "alice@example.com" &&
context["ip-address"] like "192.0.2.*"
};
```
## Verwendet Punktnotation, um auf Attribute zu verweisen
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, die Punktnotation verwendet, um auf Attribute zu verweisen.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token zum](oidc-map-token-to-schema.md) Schema.
```
permit(principal, action, resource)
when {
principal.cognito.username == "alice" &&
principal.custom.employmentStoreCode == "petstore-dallas" &&
principal.tenant == "x11app-tenant-1" &&
principal has email && principal.email == "alice@example.com"
};
```
## Spiegelt Amazon Cognito ID-Token-Attribute wider
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, aus der ID-Token-Attribute referenziert Amazon Cognito werden.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token zum](oidc-map-token-to-schema.md) Schema.
```
permit (
principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
action,
resource
) when {
principal["cognito:username"] == "alice" &&
principal["custom:employmentStoreCode"] == "petstore-dallas" &&
principal.tenant == "x11app-tenant-1" &&
principal has email && principal.email == "alice@example.com"
};
```
## Spiegelt die Attribute von OIDC-ID-Tokens wider
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf ID-Token-Attribute eines OIDC-Anbieters verweist.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token](oidc-map-token-to-schema.md) zum Schema.
```
permit (
principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
action,
resource
) when {
principal.email_verified == true && principal.email == "alice@example.com" &&
principal.phone_number_verified == true && principal.phone_number like "+1206*"
};
```
## Spiegelt Attribute von Amazon Cognito Zugriffstoken wider
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen können, von der Zugriffstoken-Attribute referenziert Amazon Cognito werden.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token zum](oidc-map-token-to-schema.md) Schema.
```
permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when {
context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
context.token.scope.contains("MyAPI/mydata.write")
};
```
## Spiegelt die Attribute von OIDC-Zugriffstoken wider
Das folgende Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die auf Zugriffstoken-Attribute eines OIDC-Anbieters verweist.
Weitere Informationen zur Verwendung von Tokenattributen in Richtlinien finden Sie unter Verifizierte Berechtigungen unter [Zuordnen von Amazon Cognito Tokens zum Schema](cognito-map-token-to-schema.md) und [Zuordnen von OIDC-Token](oidc-map-token-to-schema.md) zum Schema.
```
permit(
principal,
action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
resource
)
when {
context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
context.token.scope.contains("MyAPI-read")
};
```