Utilisation de la politique d'autorisation vérifiée d'Amazon pour stocker les alias dans les opérations d'API - Amazon Verified Permissions
Utilisation des alias du Policy Store dans OperationsUtilisation des alias du Policy Store Across Régions AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la politique d'autorisation vérifiée d'Amazon pour stocker les alias dans les opérations d'API

Toute opération Amazon Verified Permissions qui accepte un policyStoreId paramètre, tel que IsAuthorized, et IsAuthorizedWithTokenGetPolicyStore, peut accepter un nom d'alias de magasin de politiques à la place de l'ID de magasin de politiques.

Important

Lorsque vous utilisez un alias de magasin de politiques comme valeur d'un policyStoreId paramètre, vous devez inclure le policy-store-alias/ préfixe. Par exemple, utilisezpolicy-store-alias/example-policy-store, nonexample-policy-store.

Utilisation des alias du Policy Store dans Operations

La IsAuthorized commande suivante utilise un alias de magasin de politiques dont le nom permet example-policy-store d'identifier un magasin de politiques.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
Note

Vous ne pouvez pas utiliser un alias de magasin de politiques à la place du policyStoreId champ pour l'DeletePolicyStoreopération.

Utilisation des alias du Policy Store Across Régions AWS

L'une des utilisations les plus performantes des alias est au niveau des applications qui s'exécutent dans plusieurs Régions AWS. Par exemple, vous pouvez avoir une application globale qui utilise différents magasins de politiques dans chaque région.

  • Dans us-east-1, vous souhaitez utiliser. PSEXAMPLEabcdefg111111

  • Dans eu-west-1, vous souhaitez utiliser. PSEXAMPLEabcdefg222222

Vous pouvez créer une version différente de votre application dans chaque région ou utiliser un dictionnaire ou une instruction switch pour sélectionner le magasin de politiques adapté à chaque région. Mais il est beaucoup plus facile de créer un alias de magasin de politiques portant le même nom d'alias de magasin de politiques dans chaque région. N'oubliez pas que le nom d'alias du magasin de politiques distingue les majuscules et minuscules.

AWS CLI
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222

Utilisez ensuite l'alias Policy Store dans votre code. Lorsque votre code s'exécute dans chaque région, l'alias du magasin de politiques fait référence au magasin de politiques associé dans cette région.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

Cependant, il existe un risque que l'alias du magasin de politiques soit supprimé. Dans ce cas, les tentatives de l'application pour utiliser le nom d'alias du magasin de politiques échoueront et vous devrez peut-être recréer ou mettre à jour l'alias du magasin de politiques. Pour atténuer ce risque, veillez à ne pas autoriser les principaux à gérer les alias du Policy Store que vous utilisez dans votre application.