Domande frequenti sull'aggiornamento delle autorizzazioni verificate di Amazon a Cedar 4 - Autorizzazioni verificate da Amazon
Perché alcune politiche, modelli di policy e schemi non sono compatibili con Cedar 4? Come faccio a sapere se il mio policy store utilizza Cedar 2 o Cedar 4? Come posso effettuare l'aggiornamento a Cedar 4? Posso effettuare il downgrade del mio negozio di polizze da Cedar 4 a Cedar 2? Perché ricevo un messaggio di errore che dice che il mio policy store è configurato per Cedar 2? Come posso rendere il mio schema compatibile con Cedar 4? Come posso rendere le mie politiche e i miei modelli compatibili con Cedar 4?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Domande frequenti sull'aggiornamento delle autorizzazioni verificate di Amazon a Cedar 4

Amazon Verified Permissions sta aggiornando la versione di Cedar che utilizza dalla versione 2 alla versione 4. Cedar è il linguaggio open source che usi per scrivere politiche, modelli di policy e schemi nei tuoi archivi di policy. Con il supporto di Cedar 4 in Verified Permissions, puoi utilizzare nuove funzionalità come i tag is dell'operatore e dell'entità per scrivere politiche più espressive.

Amazon Verified Permissions aggiorna automaticamente i policy store a Cedar 4. Tuttavia, alcune politiche, schemi e richieste di autorizzazione scritte per Cedar 2 sono incompatibili con Cedar 4. Se questo è il caso del tuo policy store, non lo aggiorneremo automaticamente. Potrebbe essere necessario apportare modifiche alle politiche, ai modelli di policy, agli schemi o al codice dell'applicazione prima di poter effettuare l'aggiornamento a Cedar 4.

Perché alcune politiche, modelli di policy e schemi non sono compatibili con Cedar 4?

A partire da Cedar 2, il team di Cedar ha apportato diverse modifiche non compatibili con le versioni precedenti, per correggere i bug e semplificare il linguaggio. Queste modifiche includono:

  • modifiche alla sintassi per politiche, modelli di policy e schemi

  • un validatore di policy più preciso, che rileva più errori

  • modifiche al comportamento delle funzioni integrate come isInRange

Per un elenco completo delle modifiche incompatibili con le versioni precedenti, cerca gli elementi contrassegnati con (*) nel changelog di Cedar.

Come faccio a sapere se il mio policy store utilizza Cedar 2 o Cedar 4?

Puoi controllare la versione di Cedar utilizzata dal tuo policy store utilizzando la console Amazon Verified Permissions o utilizzando l'GetPolicyStoreoperazione.

Nota

Tutti gli archivi di policy della stessa Account AWS regione utilizzano la stessa versione di Cedar.

Console
Per controllare la versione Cedar di un policy store (console)

  1. Accedi Console di gestione AWS e apri la console Amazon Verified Permissions all'indirizzo https://console.aws.amazon.com/verifiedpermissions/.

  2. Dal pannello di navigazione, scegli Policy stores, quindi scegli il Policy Store che desideri controllare.

  3. Scegliere Settings (Impostazioni) nel riquadro di navigazione.

  4. Nella casella Dettagli, individua il campo della versione Cedar.

Il campo indica CEDAR_2 se il tuo policy store utilizza Cedar 2 e CEDAR_4 se utilizza Cedar 4.

CLI
Per verificare la versione Cedar di un policy store ()AWS CLI

  1. Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto. Per informazioni, consulta la pagina Installazione o aggiornamento della versione più recente di AWS CLI.

  2. Utilizza il comando get-policy-store. Nell'esempio seguente, sostituiscilo policy-store-id con l'identificatore del tuo policy store: 

    aws verifiedpermissions get-policy-store \
  --policy-store-id policy-store-id

Il cedarVersion campo nell'output mostra la versione di Cedar utilizzata dall'archivio delle politiche. Ad esempio: 

{
    "policyStoreId": "ABCDEFG12345678abcdefg",
    "arn": "arn:aws:verifiedpermissions::111122223333:policy-store/ABCDEFG12345678abcdefg",
    "validationSettings": {
        "mode": "STRICT"
    },
    "createdDate": "2025-06-03T13:09:47.752255+00:00",
    "lastUpdatedDate": "2025-06-03T13:09:47.752255+00:00",
    "deletionProtection": "ENABLED",
    "cedarVersion": "CEDAR_2"
}

Il campo indica CEDAR_2 se il tuo policy store utilizza Cedar 2 e CEDAR_4 se utilizza Cedar 4.

Come posso effettuare l'aggiornamento a Cedar 4?

Amazon Verified Permissions ha già aggiornato la maggior parte dei clienti a Cedar 4. Se non hai mai creato un archivio di politiche, tutti i nuovi archivi di policy che creerai utilizzeranno Cedar 4. Se sei un cliente esistente, probabilmente ti abbiamo già aggiornato a Cedar 4. Consulta Come faccio a sapere se il mio policy store utilizza Cedar 2 o Cedar 4? per verificare quale versione di Cedar viene utilizzata dai tuoi archivi di polizze.

Se non sei stato aggiornato, Verified Permissions ha rilevato una policy, un modello di policy, uno schema o una richiesta di autorizzazione in uno dei tuoi archivi di policy che non è compatibile con Cedar 4. Ti invieremo una notifica via e-mail che descrive quali risorse sono incompatibili entro il 2025. Per effettuare l'upgrade prima, apri una custodia con. Supporto

Importante

Tutti gli archivi di policy nello stesso archivio Account AWS utilizzano la stessa versione di Cedar. Se un archivio di polizze del tuo account è incompatibile con Cedar 4, non puoi utilizzare Cedar 4 in nessun archivio di polizze di quell'account.

Posso effettuare il downgrade del mio negozio di polizze da Cedar 4 a Cedar 2?

No. Se riscontri problemi dopo l'aggiornamento del tuo Policy Store a Cedar 4, apri una custodia con. Supporto

Perché ricevo un messaggio di errore che dice che il mio policy store è configurato per Cedar 2?

Alcune funzionalità di Amazon Verified Permissions si basano sulle nuove funzionalità di Cedar 4. Se il tuo policy store non utilizza Cedar 4, non puoi utilizzare i seguenti campi API:

  • Nelle BatchIsAuthorizedWithToken operazioni IsAuthorizedBatchIsAuthorized, IsAuthorizedWithToken e:

    • datetime, decimal o duration valori nei context campi attributes o

Non puoi utilizzare la sintassi o i tipi di dati nelle politiche, nei modelli di policy o negli schemi introdotti dopo Cedar 2 finché il tuo policy store non viene aggiornato.

Come posso rendere il mio schema compatibile con Cedar 4?

La console Verified Permissions può risolvere automaticamente alcuni problemi di compatibilità nello schema. Se lo schema non può essere corretto automaticamente, la console mostrerà un elenco di errori da correggere manualmente.

Importante

L'editor di codice nella console Amazon Verified Permissions mostra sempre gli errori e gli avvisi di Cedar 4, anche se il tuo negozio di polizze utilizza Cedar 2. Puoi continuare ad apportare aggiornamenti dello schema non compatibili con Cedar 4 utilizzando il pulsante Salva modifiche o l'API Verified Permissions.

Per correggere uno schema utilizzando la console

  1. Accedi Console di gestione AWS e apri la console Amazon Verified Permissions all'indirizzo verifiedpermissions.

  2. Dal pannello di navigazione, scegli Policy stores, quindi scegli il Policy Store che desideri controllare.

  3. Scegli Schema nel riquadro di navigazione.

  4. Se lo schema può essere corretto automaticamente, vedrai un banner con la scritta «Fai clic su «Correggi» per visualizzare l'anteprima di una versione compatibile». Seleziona Correggi.

  5. Controlla le modifiche apportate allo schema e fai clic su Anteprima schema aggiornato.

  6. Rivedi lo schema aggiornato e fai clic su Salva modifiche.

Se lo schema non può essere corretto automaticamente, nella console puoi visualizzare un elenco di errori da correggere autonomamente.

  1. Apri la pagina Modifica schema come descritto sopra.

  2. Seleziona la modalità JSON.

  3. Passa il mouse sull'icona di errore rossa nella grondaia sul lato sinistro dell'editor di codice. Il messaggio di errore viene visualizzato in un tooltip.

Ecco alcuni errori comuni che potresti riscontrare e come risolverli:

impossibile analizzare lo schema da JSON: `` field-name

Con Cedar 2, puoi includere campi arbitrari in parti di schemi come le definizioni dei tipi, anche se non hanno alcun significato come parte di uno schema Cedar. In Cedar 4, questo non è più consentito. Per risolvere questo errore, rimuovi il campo chiamato field-name dallo schema JSON. Per un elenco di campi dello schema validi, consulta la documentazione di Cedar.

tipo di estensione sconosciuto `` extension-name

In Cedar 2, quando dichiari un attributo il cui type èExtension, puoi specificare qualsiasi valore per il name campo, indipendentemente dal fatto che il valore sia un nome di tipo di estensione valido o meno. Questo è ora un errore con Cedar 4. Per risolverlo, sostituiscilo extension-name con un nome di tipo di estensione valido. È possibile trovare un elenco di nomi di tipi di estensione validi nella documentazione di Cedar.

Se non sei ancora sicuro di come risolvere gli errori nel tuo schema, contatta Supporto

Come posso rendere le mie politiche e i miei modelli compatibili con Cedar 4?

La console Verified Permissions mostra eventuali errori nella politica o nel modello che la rendono incompatibile con Cedar 4.

Per visualizzare gli errori di una politica o di un modello nella console

  1. Accedi Console di gestione AWS e apri la console Amazon Verified Permissions all'indirizzo verifiedpermissions.

  2. Dal pannello di navigazione, scegli Policy stores, quindi scegli il Policy Store che desideri controllare.

  3. Scegli Policy o Policy templates nel riquadro di navigazione, a seconda dei casi.

  4. Seleziona la politica o il modello incompatibile.

  5. Seleziona Modifica

  6. Passa il mouse sull'icona di errore rossa nella grondaia sul lato sinistro dell'editor di codice. Il messaggio di errore viene visualizzato in un tooltip.

Ecco alcuni errori comuni che potresti riscontrare e come risolverli:

i set letterali vuoti sono proibiti nelle politiche

In Cedar 2, puoi usare la sintassi mySet == [] per verificare se un set è vuoto. Con Cedar 4, le politiche che utilizzano questa sintassi non vengono più convalidate rispetto a uno schema. Sostituisci mySet == [] nella tua politica con. mySet.isEmpty()