Aliasnamen der Amazon-Richtlinie „Verified Permissions“ speichern - Amazon Verified Permissions
Eigenschaften von Policy-Store-Aliasen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aliasnamen der Amazon-Richtlinie „Verified Permissions“ speichern

Ein Policy Store-Alias ist ein benutzerfreundlicher Name für einen Policy Store. Mit Aliasnamen für Richtlinienspeicher können Sie beispielsweise auf einen Richtlinienspeicher verweisen, indem Sie policy-store-alias/example-policy-store anstelle vonPSEXAMPLEabcdefg111111. Aliase für Richtlinienspeicher können in jedem Vorgang mit verifizierten Berechtigungen verwendet werden, der einen policyStoreId Eingabeparameter akzeptiert.

Sie können mithilfe der CreatePolicyStoreAlias API oder mithilfe der AWS::VerifiedPermissions::PolicyStoreAlias CloudFormation Ressource einen Richtlinienspeicher-Alias für einen Richtlinienspeicher erstellen.

Die Amazon Verified Permissions API bietet die volle Kontrolle über die Policy-Store-Aliase in jeder AWS-Konto Region. Die API umfasst Operationen zum Erstellen eines Policy-Store-Alias (CreatePolicyStoreAlias), zum Anzeigen von Policy-Store-Aliasnamen und Policy-Store-Alias ARNs (GetPolicyStoreAlias,ListPolicyStoreAliases) und zum Löschen eines Policy-Store-Alias (DeletePolicyStoreAlias).

Themen

Eigenschaften von Policy-Store-Aliasen

So funktionieren Policy-Store-Aliase in Amazon Verified Permissions.

Ein Policy Store-Alias ist eine unabhängige Ressource AWS

Ein Policy Store-Alias ist kein Eigentum eines Policy Stores. Die Aktionen, die Sie für den Policy Store-Alias ausführen, wirken sich nicht auf den zugehörigen Policy-Store aus. Sie können den Alias des Richtlinienspeichers löschen, ohne dass dies Auswirkungen auf den zugehörigen Richtlinienspeicher hat. Wenn Sie einen Richtlinienspeicher löschen, werden auch alle mit diesem Richtlinienspeicher verknüpften Richtlinienspeicher-Aliase gelöscht.

Jeder Policy Store-Alias hat einen Amazon-Ressourcennamen (ARN), der den Policy Store-Alias eindeutig identifiziert. Wenn Sie in einer IAM-Richtlinie einen Policy Store-Alias als Ressource angeben, bezieht sich die Richtlinie auf den Policy-Store-Alias, nicht auf den zugehörigen Policy-Store.

Jeder Policy Store-Alias hat zwei Formate

Wenn Sie einen Policy Store-Alias erstellen, geben Sie den Aliasnamen des Policy-Speichers an. Amazon Verified Permissions erstellt den Policy Store-Alias ARN für Sie.

  • Ein Policy Store-Alias ARN ist ein Amazon-Ressourcenname (ARN), der den Policy Store-Alias eindeutig identifiziert.

    # Alias ARN
arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store

  • Ein Aliasname für den Richtlinienspeicher, der in der Region AWS-Konto und eindeutig ist. In der Amazon Verified Permissions API wird dem Aliasnamen des Policy Stores immer das Präfix policy-store-alias/ vorangestellt.

    # Alias name
policy-store-alias/example-policy-store
Policy Store-Aliase sind nicht geheim

Aliase für Richtlinienspeicher können in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Aliasnamen des Richtlinienspeichers auf.

Jeder Richtlinienspeicher-Alias ist jeweils einem Richtlinienspeicher zugeordnet

Der Alias für den Richtlinienspeicher und der zugehörige Richtlinienspeicher müssen zu derselben AWS-Konto Region gehören. Sie können jedem Policy-Store in derselben AWS-Konto Region einen Policy Store-Alias zuordnen.

Diese ListPolicyStoreAliases Ausgabe zeigt beispielsweise, dass der example-policy-store Policy-Store-Alias genau einem Zielrichtlinienspeicher zugeordnet ist, der durch die policyStoreId Eigenschaft repräsentiert wird.

{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
Diesem Richtlinienspeicher können mehrere Aliase zugeordnet werden

Sie können beispielsweise die example-policy-store-2 Aliase example-policy-store und demselben Richtlinienspeicher zuordnen.

[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]
Ein Policy Store-Alias muss in einer AWS-Konto UND-Region eindeutig sein

Sie können beispielsweise nur einen Policy Store-Alias mit dem Namen example-policy-store in jeder Region AWS-Konto und jeder Region haben. Bei Aliasnamen für Richtlinienspeicher wird zwischen Groß- und Kleinschreibung unterschieden. Sie können den Aliasnamen eines Richtlinienspeichers nicht ändern. Sie können den Policy Store-Alias jedoch löschen und nach Ablauf des 24-stündigen Reservierungszeitraums einen neuen Policy Store-Alias mit dem gewünschten Namen erstellen.

Sie können in verschiedenen Regionen Aliase für Richtlinienspeicher mit demselben Namen erstellen. Jeder Policy Store-Alias hat einen eindeutigen ARN. Wenn sich Ihr Code auf einen Aliasnamen wie für einen Policy Store beziehtpolicy-store-alias/example-policy-store, können Sie ihn in mehreren Regionen ausführen. In jeder Region wird ein anderer Richtlinienspeicher verwendet.

Aliase für den Richtlinienspeicher werden vorübergehend gelöscht

Wenn ein Policy Store-Alias gelöscht wird, wird der Policy Store-Aliasname für einen Zeitraum von 24 Stunden reserviert. Wenn Sie während dieses Zeitraums versuchen, einen Policy Store-Alias mit demselben Namen zu erstellen, wird die Anfrage abgelehnt. Während dieses Zeitraums wird der Policy Store-Alias mit dem PendingDeletion Status GetPolicyStoreAlias zurückgegeben.

Sie können Aliase verwenden, um Policy Stores zu identifizieren

Sie können einen Richtlinienspeicher-Alias verwenden, um einen Richtlinienspeicher bei allen Vorgängen zu identifizieren, die eine akzeptieren policyStoreId (z. B.IsAuthorized). In solchen Fällen muss dem Aliasnamen des Richtlinienspeichers ein Präfix vorangestellt werden. policy-store-alias/ Richtlinienspeicher-Aliase können nicht verwendet werden, um einen Richtlinienspeicher für den DeletePolicyStore Vorgang zu identifizieren.

Sie können einen Policy-Store-Aliasnamen oder einen Policy-Store-Alias-Alias-ARN nicht verwenden, um einen Richtlinienspeicher im Resource Element einer IAM-Richtlinie zu identifizieren. Informationen zur Steuerung des Zugriffs auf einen Richtlinienspeicher, wenn er über einen Policy Store-Alias referenziert wird, finden Sie unterSteuern des Zugriffs auf Policy Store-Aliase.