翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

API オペレーションでの Amazon Verified Permissions ポリシーストアエイリアスの使用

IsAuthorized、IsAuthorizedWithToken、GetPolicyStore などのpolicyStoreIdパラメータを受け入れる Amazon Verified Permissions オペレーションは、ポリシーストア ID の代わりにポリシーストアエイリアス名を受け入れることができます。

オペレーションでのポリシーストアエイリアスの使用

次のIsAuthorizedコマンドは、 という名前のポリシーストアエイリアスexample-policy-storeを使用してポリシーストアを識別します。

AWS CLI

$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

全体でのポリシーストアエイリアスの使用 AWS リージョン

エイリアスの最も強力な使用法の 1 つは、アプリケーションを複数の AWS リージョンで実行する場合です。たとえば、各リージョンで異なるポリシーストアを使用するグローバルアプリケーションがあるとします。

リージョンごとに異なるバージョンのアプリケーションを作成するか、ディクショナリステートメントまたはスイッチステートメントを使用して、リージョンごとに適切なポリシーストアを選択できます。ただし、各リージョンで同じポリシーストアエイリアス名を持つポリシーストアエイリアスを作成する方がはるかに簡単です。ポリシーストアのエイリアス名では大文字と小文字が区別されることに注意してください。

AWS CLI

$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222

次に、コードでポリシーストアエイリアスを使用します。コードが各リージョンで実行されると、ポリシーストアエイリアスはそのリージョン内の関連するポリシーストアを参照します。

AWS CLI

$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

ただし、ポリシーストアのエイリアスが削除されるリスクがあります。この場合、アプリケーションがポリシーストアのエイリアス名を使用しようとすると失敗し、ポリシーストアのエイリアスを再作成または更新する必要がある場合があります。このリスクを軽減するには、アプリケーションで使用するポリシーストアエイリアスを管理するアクセス許可をプリンシパルに付与することに注意してください。