Perguntas frequentes sobre a atualização de permissões verificadas da Amazon para o Cedar 4 - Amazon Verified Permissions
Por que algumas políticas, modelos de políticas e esquemas não são compatíveis com o Cedar 4? Como posso saber se meu repositório de políticas está usando o Cedar 2 ou o Cedar 4? Como faço para fazer o upgrade para o Cedar 4? Posso fazer o downgrade da minha loja de políticas do Cedar 4 para o Cedar 2? Por que estou recebendo uma mensagem de erro dizendo que meu repositório de políticas está configurado para o Cedar 2? Como faço para tornar meu esquema compatível com o Cedar 4? Como faço para tornar minhas políticas e modelos compatíveis com o Cedar 4?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perguntas frequentes sobre a atualização de permissões verificadas da Amazon para o Cedar 4

A Amazon Verified Permissions está atualizando a versão do Cedar que usa da versão 2 para a versão 4. O Cedar é a linguagem de código aberto que você usa para escrever políticas, modelos de políticas e esquemas em seus repositórios de políticas. Com o suporte do Cedar 4 nas Permissões Verificadas, você pode usar novos recursos, como as tags de is operador e entidade, para criar políticas mais expressivas.

O Amazon Verified Permissions está atualizando automaticamente os repositórios de políticas para o Cedar 4. No entanto, algumas políticas, esquemas e solicitações de autorização escritas para o Cedar 2 são incompatíveis com o Cedar 4. Se esse for o caso do seu repositório de políticas, não o atualizaremos automaticamente. Talvez seja necessário fazer alterações em suas políticas, modelos de políticas, esquemas ou código de aplicativo antes de atualizar para o Cedar 4.

Por que algumas políticas, modelos de políticas e esquemas não são compatíveis com o Cedar 4?

A equipe do Cedar fez várias alterações incompatíveis com versões anteriores desde o Cedar 2, para corrigir bugs e simplificar a linguagem. Essas alterações incluem:

  • alterações de sintaxe para políticas, modelos de políticas e esquemas

  • um validador de políticas mais preciso, que detecta mais erros

  • mudanças no comportamento de funções integradas, como isInRange

Para obter uma lista completa de alterações incompatíveis com versões anteriores, procure os itens marcados com (*) no changelog do Cedar.

Como posso saber se meu repositório de políticas está usando o Cedar 2 ou o Cedar 4?

Você pode verificar a versão do Cedar que seu repositório de políticas usa usando o console Amazon Verified Permissions ou usando a GetPolicyStore operação.

nota

Todos os repositórios de políticas na mesma Conta da AWS região usam a mesma versão do Cedar.

Console
Para verificar a versão Cedar de um repositório de políticas (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console de permissões verificadas da Amazon em https://console.aws.amazon.com/verifiedpermissions/.

  2. No painel de navegação, escolha Armazenamentos de políticas e, em seguida, escolha o repositório de políticas que você deseja verificar.

  3. Selecione Configurações no painel de navegação.

  4. Na caixa Detalhes, localize o campo Versão do Cedar.

O campo mostra CEDAR_2 se seu repositório de políticas está usando o Cedar 2 e CEDAR_4 se usa o Cedar 4.

CLI
Para verificar a versão Cedar de um repositório de políticas ()AWS CLI

  1. Instale e configure o AWS Command Line Interface (AWS CLI), caso ainda não tenha feito isso. Para obter informações, consulte Instalar ou atualizar a versão mais recente da AWS CLI.

  2. Use o comando get-policy-store. No exemplo a seguir, policy-store-id substitua pelo identificador do seu repositório de políticas: 

    aws verifiedpermissions get-policy-store \
  --policy-store-id policy-store-id

O cedarVersion campo na saída mostra qual versão do Cedar o repositório de políticas está usando. Por exemplo: 

{
    "policyStoreId": "ABCDEFG12345678abcdefg",
    "arn": "arn:aws:verifiedpermissions::111122223333:policy-store/ABCDEFG12345678abcdefg",
    "validationSettings": {
        "mode": "STRICT"
    },
    "createdDate": "2025-06-03T13:09:47.752255+00:00",
    "lastUpdatedDate": "2025-06-03T13:09:47.752255+00:00",
    "deletionProtection": "ENABLED",
    "cedarVersion": "CEDAR_2"
}

O campo mostra CEDAR_2 se seu repositório de políticas está usando o Cedar 2 e CEDAR_4 se usa o Cedar 4.

Como faço para fazer o upgrade para o Cedar 4?

O Amazon Verified Permissions já atualizou a maioria dos clientes para o Cedar 4. Se você nunca criou um repositório de políticas, qualquer novo repositório de políticas que você criar usará o Cedar 4. Se você já é um cliente, provavelmente já o atualizamos para o Cedar 4. Consulte Como posso saber se meu repositório de políticas está usando o Cedar 2 ou o Cedar 4? para verificar qual versão do Cedar suas lojas de políticas usam.

Se você não tiver sido atualizado, as Permissões Verificadas detectaram uma política, modelo de política, esquema ou solicitação de autorização em um de seus repositórios de políticas que é incompatível com o Cedar 4. Enviaremos uma notificação por e-mail descrevendo quais recursos são incompatíveis no final de 2025. Para atualizar mais cedo, abra um estojo com Suporte.

Importante

Todos os repositórios de políticas no mesmo Conta da AWS usam a mesma versão do Cedar. Se um repositório de políticas em sua conta for incompatível com o Cedar 4, você não poderá usar o Cedar 4 em nenhum repositório de políticas dessa conta.

Posso fazer o downgrade da minha loja de políticas do Cedar 4 para o Cedar 2?

Não. Se você tiver problemas depois que seu repositório de políticas for atualizado para o Cedar 4, abra um caso com. Suporte

Por que estou recebendo uma mensagem de erro dizendo que meu repositório de políticas está configurado para o Cedar 2?

Alguns recursos do Amazon Verified Permissions dependem dos novos recursos do Cedar 4. Se seu repositório de políticas não usar o Cedar 4, você não poderá usar os seguintes campos de API:

  • Nas BatchIsAuthorizedWithToken operações IsAuthorizedBatchIsAuthorized, IsAuthorizedWithToken e:

    • datetime, decimal ou duration valores nos context campos attributes ou

Você não pode usar sintaxe ou tipos de dados em políticas, modelos de políticas ou esquemas introduzidos após o Cedar 2 até que seu repositório de políticas seja atualizado.

Como faço para tornar meu esquema compatível com o Cedar 4?

O console de permissões verificadas pode corrigir automaticamente alguns problemas de compatibilidade em seu esquema. Se o esquema não puder ser corrigido automaticamente, o console mostrará uma lista de erros para você corrigir manualmente.

Importante

O editor de código no console Amazon Verified Permissions sempre mostra erros e avisos do Cedar 4, mesmo que seu repositório de políticas use o Cedar 2. Você pode continuar fazendo atualizações de esquema que não são compatíveis com o Cedar 4 usando o botão Salvar alterações ou a API de permissões verificadas.

Para corrigir um esquema usando o console

  1. Faça login no Console de gerenciamento da AWS e abra o console Amazon Verified Permissions em verifiedpermissions.

  2. No painel de navegação, escolha Armazenamentos de políticas e, em seguida, escolha o repositório de políticas que você deseja verificar.

  3. Escolha Esquema no painel de navegação.

  4. Se seu esquema puder ser corrigido automaticamente, você verá um banner com os dizeres “Clique em 'Corrigir' para visualizar uma versão compatível”. Selecione Corrigir.

  5. Revise as alterações feitas em seu esquema e clique em Visualizar esquema atualizado.

  6. Revise o esquema atualizado e clique em Salvar alterações.

Se o esquema não puder ser corrigido automaticamente, você poderá ver uma lista de erros para corrigir você mesmo no console.

  1. Abra a página Editar esquema conforme descrito acima.

  2. Selecione o modo JSON.

  3. Passe o mouse sobre o ícone de erro vermelho na medianiz no lado esquerdo do editor de código. A mensagem de erro é exibida em uma dica de ferramenta.

Aqui estão alguns erros comuns que você pode encontrar e como resolvê-los:

falha ao analisar o esquema do JSON: `` field-name

Com o Cedar 2, você pode incluir campos arbitrários em partes de esquemas, como definições de tipo, mesmo que eles não tenham nenhum significado como parte de um esquema Cedar. No Cedar 4, isso não é mais permitido. Para resolver esse erro, remova o campo chamado field-name do seu esquema JSON. Para obter uma lista de campos de esquema válidos, consulte a documentação do Cedar.

tipo de extensão desconhecido `extension-name`

No Cedar 2, ao declarar um atributo cujo type éExtension, você pode especificar qualquer valor para o name campo, independentemente de o valor ser ou não um nome de tipo de extensão válido. Agora isso é um erro com o Cedar 4. Para resolver isso, extension-name substitua por um nome de tipo de extensão válido. Você pode encontrar uma lista de nomes de tipos de extensão válidos na documentação do Cedar.

Se você ainda não tiver certeza de como resolver os erros em seu esquema, entre em contato Suporte

Como faço para tornar minhas políticas e modelos compatíveis com o Cedar 4?

O console de Permissões verificadas mostra quaisquer erros em sua política ou modelo que o tornem incompatível com o Cedar 4.

Para visualizar os erros de uma política ou modelo no console

  1. Faça login no Console de gerenciamento da AWS e abra o console Amazon Verified Permissions em verifiedpermissions.

  2. No painel de navegação, escolha Armazenamentos de políticas e, em seguida, escolha o repositório de políticas que você deseja verificar.

  3. Escolha Políticas ou Modelos de política no painel de navegação, conforme apropriado.

  4. Selecione a política ou o modelo incompatível.

  5. Selecione Editar

  6. Passe o mouse sobre o ícone de erro vermelho na medianiz no lado esquerdo do editor de código. A mensagem de erro é exibida em uma dica de ferramenta.

Aqui estão alguns erros comuns que você pode encontrar e como resolvê-los:

conjuntos literais vazios são proibidos nas políticas

No Cedar 2, você pode usar a sintaxe mySet == [] para verificar se um conjunto está vazio. Com o Cedar 4, as políticas que usam essa sintaxe não são mais válidas em relação a um esquema. mySet == []Substitua sua apólice pormySet.isEmpty().