Amazon Verified Permissions ポリシーテンプレートとテンプレートにリンクされたポリシー

Verified Permissions では、ポリシーテンプレートは、principal、、resourceまたはその両方のプレースホルダーを持つポリシーです。ポリシーテンプレートのみを使用して認可リクエストを処理することはできません。認可リクエストを処理するには、ポリシーテンプレートに基づいてテンプレートにリンクされたポリシーを作成する必要があります。ポリシーテンプレートを使用すると、ポリシーを一度定義してから、複数のプリンシパルとリソースで使用できます。ポリシーテンプレートの更新は、テンプレートを使用するすべてのポリシーに反映されます。詳細については、Cedar ポリシー言語リファレンスガイドの「Cedar ポリシーテンプレート」を参照してください。

必要に応じて、ポリシーテンプレート名をポリシーテンプレートに割り当てることができます。ポリシーテンプレート名は、ポリシーストア内で一意で、プレフィックスが である必要がありますname/。policyTemplateId パラメータを受け入れるコントロールプレーンオペレーションでは、ポリシーテンプレート ID の代わりにポリシーテンプレート名を使用できます。GetPolicyTemplate と のみ出力で名前ListPolicyTemplatesを返します。次の例では、ポリシーテンプレート名を使用して、 でポリシーテンプレートを取得しますGetPolicyTemplate。

$ aws verifiedpermissions get-policy-template \
    --policy-template-id name/example-policy-template \
    --policy-store-id PSEXAMPLEabcdefg111111

たとえば、次のポリシーテンプレートはRead、ポリシーテンプレートを使用するプリンシパルとリソースに Edit、、および アクセスComment許可を提供します。

permit(
  principal == ?principal,
  action in [Action::"Read", Action::"Edit", Action::"Comment"],
  resource == ?resource
);

このテンプレートEditorに基づいて という名前のポリシーを作成する場合、プリンシパルが特定のリソースのエディタとして指定されていると、アプリケーションはプリンシパルがリソースに対して読み取り、編集、コメントするためのアクセス許可を提供するポリシーを作成します。

静的ポリシーとは異なり、テンプレートにリンクされたポリシーは動的です。前の例で、ポリシーテンプレートからCommentアクションを削除すると、そのテンプレートにリンクまたは基づいているポリシーはそれに応じて更新され、ポリシーで指定されたプリンシパルは対応するリソースにコメントできなくなります。

テンプレートにリンクされたポリシーの例については、「」を参照してくださいAmazon Verified Permissions テンプレートにリンクされたポリシーの例。