Exemplos de políticas do Amazon Verified Permissions - Amazon Verified Permissions
Usa notação de colchetes para referenciar atributos de tokenUsa notação de pontos para referenciar atributosReflete os atributos do token de ID do Amazon CognitoReflete os atributos do token de ID OIDCReflete os atributos do token de acesso do Amazon CognitoReflete os atributos do token de acesso OIDC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas do Amazon Verified Permissions

Alguns dos exemplos de políticas incluídos aqui são exemplos básicos de políticas da Cedar e alguns são específicos de permissões verificadas. Os básicos estão vinculados ao Guia de referência da linguagem política do Cedar e estão incluídos nele. Para obter mais informações sobre a sintaxe de política do Cedar, consulte Construção de políticas básicas no Cedar no Guia de referência da linguagem de política Cedar.

Exemplos de políticas

Usa notação de colchetes para referenciar atributos de token

O exemplo a seguir mostra como você pode criar uma política que usa a notação de colchetes para referenciar atributos de token.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Usa notação de pontos para referenciar atributos

O exemplo a seguir mostra como você pode criar uma política que usa notação de pontos para referenciar atributos.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflete os atributos do token de ID do Amazon Cognito

O exemplo a seguir mostra como você pode criar uma política que faça referência aos atributos do token de ID do Amazon Cognito.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflete os atributos do token de ID OIDC

O exemplo a seguir mostra como você pode criar uma política que faça referência aos atributos do token de ID de um provedor OIDC.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Reflete os atributos do token de acesso do Amazon Cognito

O exemplo a seguir mostra como você pode criar uma política que faça referência aos atributos do token de acesso do Amazon Cognito.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Reflete os atributos do token de acesso OIDC

O exemplo a seguir mostra como você pode criar uma política que faça referência aos atributos do token de acesso de um provedor OIDC.

Para obter mais informações sobre o uso de atributos de token em políticas em Permissões verificadas, consulte Mapeamento de tokens do Amazon Cognito para esquema e Mapeamento de tokens OIDC para esquema.

permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};