Utilizzando le policy di Amazon Verified Permissions, archivia gli alias nelle operazioni API - Autorizzazioni verificate da Amazon
Utilizzo degli alias del Policy Store in OperationsUtilizzo degli alias del Policy store Across Regioni AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzando le policy di Amazon Verified Permissions, archivia gli alias nelle operazioni API

Qualsiasi operazione Amazon Verified Permissions che accetta un policyStoreId parametro, ad esempio IsAuthorized, e IsAuthorizedWithTokenGetPolicyStore, può accettare un alias del Policy Store al posto dell'ID del Policy Store.

Importante

Quando utilizzi un alias del policy store come valore di un policyStoreId parametro, devi includere il prefisso. policy-store-alias/ Ad esempio, usapolicy-store-alias/example-policy-store, not. example-policy-store

Utilizzo degli alias del Policy Store in Operations

Il IsAuthorized comando seguente utilizza un alias del policy store con il nome example-policy-store per identificare un policy store.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
Nota

Non è possibile utilizzare un alias del policy store al posto del policyStoreId campo per l'DeletePolicyStoreoperazione.

Utilizzo degli alias del Policy store Across Regioni AWS

Uno degli usi più efficaci degli alias è nelle applicazioni eseguite in più Regioni AWS. Ad esempio, potresti avere un'applicazione globale che utilizza archivi di policy diversi in ogni regione.

  • In us-east-1, vuoi usare. PSEXAMPLEabcdefg111111

  • In eu-west-1, si desidera utilizzare. PSEXAMPLEabcdefg222222

È possibile creare una versione diversa dell'applicazione in ciascuna regione o utilizzare un dizionario o un'istruzione switch per selezionare l'archivio di politiche giusto per ciascuna regione. Tuttavia, è molto più semplice creare un alias di policy store con lo stesso nome alias di policy store in ogni regione. Ricorda che il nome alias del policy store fa distinzione tra maiuscole e minuscole.

AWS CLI
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222

Quindi, usa l'alias del policy store nel tuo codice. Quando il codice viene eseguito in ogni regione, l'alias del policy store farà riferimento al policy store associato in quella regione.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

Tuttavia, esiste il rischio che l'alias del policy store venga eliminato. In tal caso, i tentativi dell'applicazione di utilizzare il nome alias del policy store falliranno e potrebbe essere necessario ricreare o aggiornare l'alias del policy store. Per mitigare questo rischio, fate attenzione a concedere ai responsabili l'autorizzazione a gestire gli alias del policy store utilizzati nell'applicazione.