Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso agli alias del policy store

I responsabili che gestiscono gli alias del Policy Store devono disporre dell'autorizzazione a interagire con tali alias del Policy Store e, per alcune operazioni, con l'alias del Policy Store a cui è associato l'alias del Policy Store. È possibile fornire queste autorizzazioni utilizzando le politiche. IAM

Le sezioni seguenti descrivono le autorizzazioni necessarie per creare e gestire gli alias del Policy Store.

autorizzazioni verificate: CreatePolicyStoreAlias

Per creare un alias dell'archivio delle politiche, il principale necessita delle seguenti autorizzazioni sia per l'alias del policy store che per l'archivio delle politiche associato.

autorizzazioni verificate: GetPolicyStoreAlias

Per ottenere dettagli su uno specifico alias del policy store, il responsabile deve disporre dell'verifiedpermissions:GetPolicyStoreAliasautorizzazione per l'alias dell'archivio delle politiche in un criterio. IAM

L'istruzione politica di esempio seguente fornisce l'autorizzazione principale per ottenere un alias specifico del policy store.

{
  "Sid": "IAMPolicyForGetAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

autorizzazioni verificate: ListPolicyStoreAliases

Per elencare gli alias del policy store nella regione Account AWS and, il principale deve disporre dell'autorizzazione per una policy. verifiedpermissions:ListPolicyStoreAliases IAM Poiché questo criterio non è correlato a nessuna particolare risorsa Policy Store o Policy Store alias, il valore dell'elemento resource nella policy deve essere. "*"

Ad esempio, la seguente dichiarazione di IAM policy fornisce l'autorizzazione principale per elencare tutti gli alias del policy store in. Account AWS

{
  "Sid": "IAMPolicyForListingAliases",
  "Effect": "Allow",
  "Action": "verifiedpermissions:ListPolicyStoreAliases",
  "Resource": "*"
}

autorizzazioni verificate: DeletePolicyStoreAlias

Per eliminare un alias del policy store, il principale necessita dell'autorizzazione solo per l'alias del policy store.

Il principale necessita dell'verifiedpermissions:DeletePolicyStoreAliasautorizzazione per l'alias del policy store. Fornisci questa autorizzazione in una IAM policy allegata al principale che è autorizzato a eliminare l'alias del policy store.

L'esempio seguente di dichiarazione politica specifica l'alias del policy store in un elemento. Resource È tuttavia possibile elencare più alias del policy store ARNs o specificare un modello di alias del policy store, ad esempio. "sample*" È inoltre possibile specificare un Resource valore di "*" per consentire al principale di eliminare qualsiasi alias del policy store nella Account AWS regione and.

{
  "Sid": "IAMPolicyForDeleteAlias",
  "Effect": "Allow",
  "Action": "verifiedpermissions:DeletePolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
}

Limitazione delle autorizzazioni degli alias del Policy Store

È possibile utilizzare un alias del policy store per fare riferimento a un policy store in qualsiasi operazione che accetta un policyStoreId campo come input. Quando lo fai, Amazon Verified Permissions autorizza l'verifiedpermissions:GetPolicyStoreAliasalias del Policy Store e l'operazione richiesta sul Policy Store associato.

Ad esempio, se l'IsAuthorizedoperazione viene eseguita utilizzando un alias del Policy Store, il principale necessita di entrambi:

La policy di esempio seguente concede l'autorizzazione alla chiamata IsAuthorized utilizzando un alias specifico del policy store.

{
  "Sid": "IAMPolicyForAliasUsage",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store"
},
{
  "Sid": "IAMPolicyForPolicyStoreOperation",
  "Effect": "Allow",
  "Action": "verifiedpermissions:IsAuthorized",
  "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111"
}

Per limitare gli alias del policy store che un principale può utilizzare, limita l'autorizzazione. verifiedpermissions:GetPolicyStoreAlias Ad esempio, il criterio seguente consente al principale di utilizzare qualsiasi alias dell'archivio delle politiche tranne quelli che iniziano con. Restricted

{
  "Sid": "IAMPolicyForAliasAllow",
  "Effect": "Allow",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*"
},
{
  "Sid": "IAMPolicyForAliasDeny",
  "Effect": "Deny",
  "Action": "verifiedpermissions:GetPolicyStoreAlias",
  "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*"
}