Exemples de politiques relatives aux autorisations vérifiées par Amazon - Amazon Verified Permissions
Utilise la notation entre crochets pour référencer les attributs des jetonsUtilise la notation par points pour référencer les attributsReflète les attributs des jetons d' Amazon Cognito identificationReflète les attributs du jeton d'identification OIDCReflète les attributs des jetons d' Amazon Cognito accèsReflète les attributs du jeton d'accès OIDC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques relatives aux autorisations vérifiées par Amazon

Certains des exemples de politiques inclus ici sont des exemples de politiques de base de Cedar, tandis que d'autres sont spécifiques aux autorisations vérifiées. Les principaux renvoient au guide de référence du langage politique de Cedar et y sont inclus. Pour plus d'informations sur la syntaxe des politiques Cedar, consultez la section Construction de base des politiques dans Cedar dans le Guide de référence du langage de politique Cedar.

Exemples de politiques

Utilise la notation entre crochets pour référencer les attributs des jetons

L'exemple suivant montre comment créer une politique qui utilise la notation entre crochets pour référencer les attributs des jetons.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Utilise la notation par points pour référencer les attributs

L'exemple suivant montre comment créer une politique qui utilise la notation par points pour référencer les attributs.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflète les attributs des jetons d' Amazon Cognito identification

L'exemple suivant montre comment créer une politique qui fait référence aux attributs des jetons d'identification à partir de Amazon Cognito.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflète les attributs du jeton d'identification OIDC

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'identification d'un fournisseur OIDC.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Reflète les attributs des jetons d' Amazon Cognito accès

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'accès à partir de Amazon Cognito.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Reflète les attributs du jeton d'accès OIDC

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'accès d'un fournisseur OIDC.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, consultez les sections Mappage Amazon Cognito des jetons sur le schéma et Mappage des jetons OIDC sur le schéma.

permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};