Izin Terverifikasi Amazon ditingkatkan ke Cedar 4 FAQ - Izin Terverifikasi Amazon
Mengapa beberapa kebijakan, templat kebijakan, dan skema tidak kompatibel dengan Cedar 4? Bagaimana cara mengetahui apakah toko kebijakan saya menggunakan Cedar 2 atau Cedar 4? Bagaimana cara meningkatkan ke Cedar 4? Dapatkah saya menurunkan versi toko polis saya dari Cedar 4 ke Cedar 2? Mengapa saya menerima pesan kesalahan yang mengatakan toko kebijakan saya dikonfigurasi untuk Cedar 2? Bagaimana cara membuat skema saya kompatibel dengan Cedar 4? Bagaimana cara membuat kebijakan dan template saya kompatibel dengan Cedar 4?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin Terverifikasi Amazon ditingkatkan ke Cedar 4 FAQ

Izin Terverifikasi Amazon memutakhirkan versi Cedar yang digunakannya dari versi 2 ke versi 4. Cedar adalah bahasa sumber terbuka yang Anda gunakan untuk menulis kebijakan, templat kebijakan, dan skema di toko kebijakan Anda. Dengan dukungan Cedar 4 di Izin Terverifikasi, Anda dapat menggunakan fitur baru seperti is operator dan tag entitas untuk menulis kebijakan yang lebih ekspresif.

Izin Terverifikasi Amazon secara otomatis memutakhirkan toko kebijakan ke Cedar 4. Namun, beberapa kebijakan, skema, dan permintaan otorisasi yang ditulis untuk Cedar 2 tidak sesuai dengan Cedar 4. Jika ini terjadi pada toko kebijakan Anda, maka kami tidak akan memutakhirkannya secara otomatis. Anda mungkin perlu membuat perubahan pada kebijakan, templat kebijakan, skema, atau kode aplikasi Anda sebelum dapat meningkatkan ke Cedar 4.

Mengapa beberapa kebijakan, templat kebijakan, dan skema tidak kompatibel dengan Cedar 4?

Tim Cedar telah membuat beberapa perubahan yang tidak kompatibel ke belakang sejak Cedar 2, untuk memperbaiki bug dan menyederhanakan bahasa. Perubahan ini meliputi:

  • perubahan sintaks untuk kebijakan, templat kebijakan, dan skema

  • validator kebijakan yang lebih tepat, yang mendeteksi lebih banyak kesalahan

  • perubahan perilaku fungsi bawaan seperti isInRange

Untuk daftar lengkap perubahan yang tidak kompatibel ke belakang, cari item yang ditandai dengan (*) di changelog Cedar.

Bagaimana cara mengetahui apakah toko kebijakan saya menggunakan Cedar 2 atau Cedar 4?

Anda dapat memeriksa versi Cedar yang digunakan toko kebijakan Anda menggunakan konsol Izin Terverifikasi Amazon, atau menggunakan operasi. GetPolicyStore

catatan

Semua toko kebijakan di wilayah yang sama Akun AWS dan menggunakan versi Cedar yang sama.

Console
Untuk memeriksa versi Cedar dari toko kebijakan (konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Izin Terverifikasi Amazon di https://console.aws.amazon.com/verifiedpermissions/.

  2. Dari panel navigasi, pilih Toko kebijakan, lalu pilih toko kebijakan yang ingin Anda periksa.

  3. Pilih Pengaturan di panel navigasi.

  4. Di kotak Detail, cari bidang versi Cedar.

Bidang berbunyi CEDAR_2 jika toko kebijakan Anda menggunakan Cedar 2, dan CEDAR_4 jika menggunakan Cedar 4.

CLI
Untuk memeriksa versi Cedar dari toko kebijakan ()AWS CLI

  1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya. Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

  2. Gunakan perintah get-policy-store. Dalam contoh berikut, ganti policy-store-id dengan pengenal toko kebijakan Anda: 

    aws verifiedpermissions get-policy-store \
  --policy-store-id policy-store-id

cedarVersionBidang dalam output menunjukkan versi Cedar mana yang digunakan oleh toko kebijakan. Misalnya: 

{
    "policyStoreId": "ABCDEFG12345678abcdefg",
    "arn": "arn:aws:verifiedpermissions::111122223333:policy-store/ABCDEFG12345678abcdefg",
    "validationSettings": {
        "mode": "STRICT"
    },
    "createdDate": "2025-06-03T13:09:47.752255+00:00",
    "lastUpdatedDate": "2025-06-03T13:09:47.752255+00:00",
    "deletionProtection": "ENABLED",
    "cedarVersion": "CEDAR_2"
}

Bidang berbunyi CEDAR_2 jika toko kebijakan Anda menggunakan Cedar 2, dan CEDAR_4 jika menggunakan Cedar 4.

Bagaimana cara meningkatkan ke Cedar 4?

Izin Terverifikasi Amazon telah meningkatkan sebagian besar pelanggan ke Cedar 4. Jika Anda belum pernah membuat toko kebijakan, maka setiap toko kebijakan baru yang Anda buat akan menggunakan Cedar 4. Jika Anda adalah pelanggan lama, maka kami kemungkinan telah meningkatkan Anda ke Cedar 4. Lihat Bagaimana cara mengetahui apakah toko kebijakan saya menggunakan Cedar 2 atau Cedar 4? untuk memeriksa versi Cedar mana yang digunakan toko kebijakan Anda.

Jika Anda belum ditingkatkan, Izin Terverifikasi mendeteksi kebijakan, templat kebijakan, skema, atau permintaan otorisasi di salah satu toko kebijakan Anda yang tidak kompatibel dengan Cedar 4. Kami akan mengirimkan pemberitahuan email yang menjelaskan sumber daya mana yang tidak kompatibel nanti pada tahun 2025. Untuk meningkatkan lebih cepat, buka kasing dengan Dukungan.

penting

Semua toko kebijakan dalam satu sama Akun AWS menggunakan versi Cedar yang sama. Jika satu toko kebijakan di akun Anda tidak kompatibel dengan Cedar 4, maka Anda tidak dapat menggunakan Cedar 4 di toko kebijakan mana pun di akun itu.

Dapatkah saya menurunkan versi toko polis saya dari Cedar 4 ke Cedar 2?

Tidak. Jika Anda mengalami masalah setelah toko polis Anda ditingkatkan ke Cedar 4, buka kasing dengan. Dukungan

Mengapa saya menerima pesan kesalahan yang mengatakan toko kebijakan saya dikonfigurasi untuk Cedar 2?

Beberapa fitur Izin Terverifikasi Amazon mengandalkan fitur baru di Cedar 4. Jika toko kebijakan Anda tidak menggunakan Cedar 4, Anda tidak dapat menggunakan bidang API berikut:

  • DalamIsAuthorized,BatchIsAuthorized, IsAuthorizedWithToken dan BatchIsAuthorizedWithToken operasi:

    • datetime, decimal atau duration nilai di attributes atau context bidang

Anda tidak dapat menggunakan sintaks atau tipe data dalam kebijakan, templat kebijakan, atau skema yang diperkenalkan setelah Cedar 2 hingga penyimpanan kebijakan Anda ditingkatkan.

Bagaimana cara membuat skema saya kompatibel dengan Cedar 4?

Konsol Izin Terverifikasi dapat secara otomatis memperbaiki beberapa masalah kompatibilitas dalam skema Anda. Jika skema Anda tidak dapat diperbaiki secara otomatis, konsol akan menampilkan daftar kesalahan untuk Anda perbaiki secara manual.

penting

Editor kode di konsol Izin Terverifikasi Amazon selalu menampilkan kesalahan dan peringatan dari Cedar 4, meskipun toko kebijakan Anda menggunakan Cedar 2. Anda dapat terus membuat pembaruan skema yang tidak kompatibel dengan Cedar 4 menggunakan tombol Simpan perubahan, atau API Izin Terverifikasi.

Untuk memperbaiki skema menggunakan konsol

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Izin Terverifikasi Amazon di izin terverifikasi.

  2. Dari panel navigasi, pilih Toko kebijakan, lalu pilih toko kebijakan yang ingin Anda periksa.

  3. Pilih Skema di panel navigasi.

  4. Jika skema Anda dapat diperbaiki secara otomatis, Anda akan melihat spanduk bertuliskan “Klik 'Perbaiki' untuk melihat pratinjau versi yang kompatibel'. Pilih Perbaiki.

  5. Tinjau perubahan yang dibuat pada skema Anda, dan klik Pratinjau skema yang diperbarui.

  6. Tinjau skema yang diperbarui, dan klik Simpan perubahan.

Jika skema Anda tidak dapat diperbaiki secara otomatis, Anda dapat melihat daftar kesalahan untuk diperbaiki sendiri di konsol.

  1. Buka halaman Edit skema seperti dijelaskan di atas.

  2. Pilih mode JSON.

  3. Arahkan kursor ke ikon kesalahan merah di selokan di sisi kiri editor kode. Pesan kesalahan ditampilkan di tooltip.

Berikut adalah beberapa kesalahan umum yang mungkin Anda temui dan cara mengatasinya:

gagal mengurai skema dari JSON: `` field-name

Dengan Cedar 2, Anda dapat menyertakan bidang arbitrer di bagian skema seperti definisi tipe, bahkan jika mereka tidak memiliki arti apa pun sebagai bagian dari skema Cedar. Di Cedar 4, ini tidak lagi diizinkan. Untuk mengatasi kesalahan ini, hapus bidang yang dipanggil field-name dari skema JSON Anda. Untuk daftar bidang skema yang valid, lihat dokumentasi Cedar.

jenis ekstensi tidak diketahui `extension-name`

Di Cedar 2, saat Anda mendeklarasikan atribut yang type adaExtension, Anda dapat menentukan nilai apa pun untuk name bidang tersebut, apakah nilainya adalah nama jenis ekstensi yang valid atau tidak. Ini sekarang kesalahan dengan Cedar 4. Untuk mengatasinya, ganti extension-name dengan nama jenis ekstensi yang valid. Anda dapat menemukan daftar nama jenis ekstensi yang valid di dokumentasi Cedar.

Jika Anda masih tidak yakin bagaimana mengatasi kesalahan dalam skema Anda, hubungi Dukungan

Bagaimana cara membuat kebijakan dan template saya kompatibel dengan Cedar 4?

Konsol Izin Terverifikasi menunjukkan kesalahan apa pun dalam kebijakan atau templat yang membuatnya tidak kompatibel dengan Cedar 4.

Untuk melihat kesalahan kebijakan atau templat di konsol

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Izin Terverifikasi Amazon di izin terverifikasi.

  2. Dari panel navigasi, pilih Toko kebijakan, lalu pilih toko kebijakan yang ingin Anda periksa.

  3. Pilih templat Kebijakan atau Kebijakan di panel navigasi, yang sesuai.

  4. Pilih kebijakan atau templat yang tidak kompatibel.

  5. Pilih Edit

  6. Arahkan kursor ke ikon kesalahan merah di selokan di sisi kiri editor kode. Pesan kesalahan ditampilkan di tooltip.

Berikut adalah beberapa kesalahan umum yang mungkin Anda temui dan cara mengatasinya:

literal set kosong dilarang dalam kebijakan

Di Cedar 2, Anda dapat menggunakan sintaks mySet == [] untuk memeriksa apakah satu set kosong. Dengan Cedar 4, kebijakan yang menggunakan sintaks ini tidak lagi memvalidasi skema. Ganti mySet == [] dalam kebijakan Anda denganmySet.isEmpty().