Uso de alias del almacén de políticas de permisos verificados de Amazon en las operaciones de la API - Amazon Verified Permissions
Uso de alias del almacén de políticas en OperationsUso de los alias del almacén de políticas: Across Regiones de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de alias del almacén de políticas de permisos verificados de Amazon en las operaciones de la API

Cualquier operación de permisos verificados de Amazon que acepte un policyStoreId parámetro, como IsAuthorized, y IsAuthorizedWithTokenGetPolicyStore, pueda aceptar un nombre de alias del almacén de políticas en lugar del ID del almacén de políticas.

importante

Si utiliza un alias de almacén de políticas como valor de un policyStoreId parámetro, debe incluir el policy-store-alias/ prefijo. Por ejemplo, utilicepolicy-store-alias/example-policy-store, noexample-policy-store.

Uso de alias del almacén de políticas en Operations

El siguiente IsAuthorized comando usa un alias de almacén de políticas con el nombre example-policy-store para identificar un almacén de políticas.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
nota

No puede utilizar un alias de almacén de políticas en lugar del policyStoreId campo para la DeletePolicyStoreoperación.

Uso de los alias del almacén de políticas: Across Regiones de AWS

Uno de los usos más potentes de los alias es en aplicaciones que se ejecutan en múltiples Regiones de AWS. Por ejemplo, es posible que tenga una aplicación global que utilice diferentes almacenes de políticas en cada región.

  • En us-east-1, querrás usar. PSEXAMPLEabcdefg111111

  • En eu-west-1, querrás usar. PSEXAMPLEabcdefg222222

Puede crear una versión diferente de su aplicación en cada región o utilizar un diccionario o una sentencia de cambio para seleccionar el almacén de políticas adecuado para cada región. Sin embargo, es mucho más fácil crear un alias de almacén de políticas con el mismo nombre de alias del almacén de políticas en cada región. Recuerde que el nombre del alias del almacén de políticas distingue entre mayúsculas y minúsculas.

AWS CLI
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222

A continuación, utilice el alias del almacén de políticas en el código. Cuando el código se ejecute en cada región, el alias del almacén de políticas hará referencia al almacén de políticas asociado en esa región.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

Sin embargo, existe el riesgo de que se elimine el alias del almacén de políticas. En ese caso, los intentos de la aplicación de utilizar el nombre del alias del almacén de políticas fallarán y es posible que tenga que volver a crear o actualizar el alias del almacén de políticas. Para mitigar este riesgo, tenga cuidado a la hora de conceder permiso a los directores para que administren los alias del almacén de políticas que utilice en su aplicación.