Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Izin Terverifikasi Amazon dan istilah dan konsep bahasa kebijakan Cedar
<a name="terminology"></a>

Anda harus memahami konsep berikut untuk menggunakan Izin Terverifikasi Amazon.

**Topics**
+ [Model otorisasi](#term-authorization-model)
+ [Permintaan otorisasi](#term-authorization-request)
+ [Respon otorisasi](#term-authorization-response)
+ [Kebijakan yang dipertimbangkan](#term-considered-policies)
+ [Data konteks](#term-context-data)
+ [Menentukan kebijakan](#term-determining-policies)
+ [Data entitas](#term-entity-data)
+ [Izin, otorisasi, dan prinsip](#term-permissions-authorization-principals)
+ [Penegakan kebijakan](#term-policy-enforcement)
+ [Toko kebijakan](#term-policy-store)
+ [Alias toko kebijakan](#term-policy-store-alias)
+ [Nama kebijakan](#term-policy-name)
+ [Nama templat kebijakan](#term-policy-template-name)
+ [Kebijakan yang memuaskan](#term-satisfied-policies)
+ [Perbedaan antara Izin Terverifikasi Amazon dan bahasa kebijakan Cedar](terminology-differences-avp-cedar.md)

**Konsep bahasa kebijakan cedar**
+ [Otorisasi](https://docs.cedarpolicy.com/overview/terminology.html#authorization)
+ [Entitas](https://docs.cedarpolicy.com/overview/terminology.html#entity)
+ [Grup dan hierarki](https://docs.cedarpolicy.com/overview/terminology.html#term-group)
+ [Ruang nama](https://docs.cedarpolicy.com/policies/validation.html#namespaces)
+ [Kebijakan](https://docs.cedarpolicy.com/overview/terminology.html#policy)
+ [Templat kebijakan](https://docs.cedarpolicy.com/overview/terminology.html#policy-template)
+ [Skema](https://docs.cedarpolicy.com/overview/terminology.html#schema)

## Model otorisasi
<a name="term-authorization-model"></a>

*Model otorisasi* menjelaskan ruang lingkup [permintaan otorisasi](#term-authorization-request) yang dibuat oleh aplikasi dan dasar untuk mengevaluasi permintaan tersebut. Ini didefinisikan dalam hal berbagai jenis sumber daya, tindakan yang diambil pada sumber daya tersebut, dan jenis prinsip yang mengambil tindakan tersebut. Ini juga mempertimbangkan konteks di mana tindakan tersebut diambil.

*Kontrol Akses Berbasis Peran (RBAC)* adalah dasar evaluasi di mana peran didefinisikan dan dikaitkan dengan serangkaian izin. Peran ini kemudian dapat ditugaskan ke satu atau lebih identitas. Identitas yang ditetapkan memperoleh izin yang terkait dengan peran tersebut. Jika izin yang terkait dengan peran diubah, maka modifikasi secara otomatis memengaruhi identitas apa pun yang telah ditetapkan peran tersebut. Cedar dapat mendukung keputusan RBAC melalui penggunaan kelompok utama.

*Attribute-based Access Control (ABAC)* adalah dasar evaluasi di mana izin yang terkait dengan identitas ditentukan oleh atribut identitas tersebut. Cedar dapat mendukung keputusan ABAC melalui penggunaan kondisi kebijakan yang merujuk atribut prinsipal.

Bahasa kebijakan Cedar memungkinkan kombinasi RBAC dan ABAC dalam satu kebijakan dengan mengizinkan izin ditentukan untuk sekelompok pengguna, yang memiliki kondisi berbasis atribut.

## Permintaan otorisasi
<a name="term-authorization-request"></a>

Permintaan *otorisasi adalah permintaan* yang dibuat dari Izin Terverifikasi oleh aplikasi untuk mengevaluasi serangkaian kebijakan untuk menentukan apakah prinsipal dapat melakukan tindakan pada sumber daya untuk konteks tertentu.

## Respon otorisasi
<a name="term-authorization-response"></a>

Respons *otorisasi adalah respons* terhadap permintaan [otorisasi](#term-authorization-request). Ini termasuk mengizinkan atau menolak keputusan, ditambah informasi tambahan, seperti kebijakan IDs yang menentukan.

## Kebijakan yang dipertimbangkan
<a name="term-considered-policies"></a>

*Kebijakan yang dipertimbangkan* adalah serangkaian kebijakan lengkap yang dipilih oleh Izin Terverifikasi untuk dimasukkan saat mengevaluasi permintaan [otorisasi](#term-authorization-request).

## Data konteks
<a name="term-context-data"></a>

*Data konteks* adalah nilai atribut yang memberikan informasi tambahan untuk dievaluasi.

## Menentukan kebijakan
<a name="term-determining-policies"></a>

*Menentukan kebijakan* adalah kebijakan yang menentukan [respons otorisasi](#term-authorization-response). Misalnya, jika ada dua [kebijakan yang puas](#term-satisfied-policies), di mana satu adalah penolakan dan yang lainnya adalah izin, maka kebijakan penolakan akan menjadi kebijakan penentu. Jika ada beberapa kebijakan izin yang dipenuhi dan tidak ada kebijakan larangan yang memuaskan, maka ada beberapa kebijakan penentu. Jika tidak ada kebijakan yang cocok dan tanggapannya ditolak, tidak ada kebijakan yang menentukan.

## Data entitas
<a name="term-entity-data"></a>

*Data entitas* adalah data tentang prinsipal, tindakan, dan sumber daya. Data entitas yang relevan untuk evaluasi kebijakan adalah keanggotaan grup sepanjang hierarki entitas dan nilai atribut prinsipal dan sumber daya.

## Izin, otorisasi, dan prinsip
<a name="term-permissions-authorization-principals"></a>

Izin Terverifikasi mengelola *izin* dan *otorisasi* berbutir halus dalam aplikasi kustom yang Anda buat.

*Prinsipal* adalah pengguna aplikasi, baik manusia atau mesin, yang memiliki identitas terikat pada pengenal seperti nama pengguna atau ID mesin. Proses otentikasi menentukan apakah prinsipal benar-benar identitas yang mereka klaim.

Terkait dengan identitas itu adalah seperangkat *izin* aplikasi yang menentukan apa yang diizinkan oleh prinsipal tersebut untuk dilakukan dalam aplikasi itu. *Otorisasi* adalah proses menilai izin tersebut untuk menentukan apakah prinsipal diizinkan untuk melakukan tindakan tertentu dalam aplikasi. Izin ini dapat dinyatakan sebagai [kebijakan](https://docs.cedarpolicy.com/overview/terminology.html#policy).

## Penegakan kebijakan
<a name="term-policy-enforcement"></a>

*Penegakan kebijakan* adalah proses menegakkan keputusan evaluasi dalam aplikasi di luar Izin Terverifikasi. Jika evaluasi Izin Terverifikasi mengembalikan penolakan, maka penegakan hukum akan memastikan bahwa prinsipal dicegah mengakses sumber daya.

## Toko kebijakan
<a name="term-policy-store"></a>

*Toko kebijakan* adalah wadah untuk kebijakan dan templat. Setiap toko berisi skema yang digunakan untuk memvalidasi kebijakan yang ditambahkan ke toko. Secara default, setiap aplikasi memiliki toko kebijakan sendiri, tetapi beberapa aplikasi dapat berbagi satu toko kebijakan. Ketika aplikasi membuat permintaan otorisasi, itu mengidentifikasi toko kebijakan yang digunakan untuk mengevaluasi permintaan itu. Toko kebijakan menyediakan cara untuk mengisolasi serangkaian kebijakan, dan oleh karena itu dapat digunakan dalam aplikasi multi-penyewa untuk memuat skema dan kebijakan untuk setiap penyewa. Satu aplikasi dapat memiliki toko kebijakan terpisah untuk setiap penyewa.

Saat mengevaluasi [permintaan otorisasi](#term-authorization-request), Izin Terverifikasi hanya mempertimbangkan subset kebijakan di penyimpanan kebijakan yang relevan dengan permintaan tersebut. Relevansi ditentukan berdasarkan ruang *lingkup* kebijakan. Ruang lingkup mengidentifikasi pokok dan sumber daya spesifik yang diterapkan kebijakan, dan tindakan yang dapat dilakukan oleh prinsipal pada sumber daya. Mendefinisikan ruang lingkup membantu meningkatkan kinerja dengan mempersempit serangkaian kebijakan yang dipertimbangkan.

## Alias toko kebijakan
<a name="term-policy-store-alias"></a>

*Alias toko kebijakan* adalah nama yang ramah untuk toko kebijakan. Anda dapat menggunakan alias penyimpanan kebijakan untuk mengidentifikasi penyimpanan kebijakan dalam operasi Izin Terverifikasi yang menerima parameter. `policyStoreId` Alias toko kebijakan adalah AWS sumber daya independen dengan milik mereka sendiri ARNs. Setiap alias dikaitkan dengan satu toko kebijakan pada satu waktu, dan beberapa alias dapat dikaitkan dengan toko kebijakan yang sama. Untuk informasi selengkapnya, lihat [Alias penyimpanan kebijakan Izin Terverifikasi Amazon](policy-store-aliases.md).

## Nama kebijakan
<a name="term-policy-name"></a>

*Nama kebijakan adalah nama* ramah opsional untuk kebijakan. Nama kebijakan harus unik untuk semua kebijakan dalam toko kebijakan dan diawali dengan`name/`. Anda dapat menggunakan nama kebijakan sebagai pengganti ID kebijakan dalam operasi bidang kontrol yang menerima `policyId` parameter. Nama dapat disetel saat membuat atau memperbarui kebijakan. Hanya `GetPolicy` dan `ListPolicies` kembalikan nama di output.

## Nama templat kebijakan
<a name="term-policy-template-name"></a>

*Nama templat kebijakan adalah nama* ramah opsional untuk templat kebijakan. Nama templat kebijakan harus unik untuk semua templat kebijakan dalam penyimpanan kebijakan dan diawali dengan`name/`. Anda dapat menggunakan nama templat kebijakan sebagai pengganti ID templat kebijakan dalam operasi bidang kontrol yang menerima `policyTemplateId` parameter. Nama dapat disetel saat membuat atau memperbarui templat kebijakan. Hanya `GetPolicyTemplate` dan `ListPolicyTemplates` kembalikan nama di output.

## Kebijakan yang memuaskan
<a name="term-satisfied-policies"></a>

*Kebijakan puas* adalah kebijakan yang sesuai dengan parameter [permintaan otorisasi](#term-authorization-request).