Usando aliases de armazenamento de políticas de permissões verificadas da Amazon em operações de API - Amazon Verified Permissions
Usando aliases do repositório de políticas em OperaçõesUsando aliases do Policy Store Across Regiões da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando aliases de armazenamento de políticas de permissões verificadas da Amazon em operações de API

Qualquer operação de Permissões Verificadas da Amazon que aceite um policyStoreId parâmetro, como IsAuthorized, IsAuthorizedWithToken, e GetPolicyStore, pode aceitar um nome de alias do repositório de políticas no lugar do ID do repositório de políticas.

Importante

Ao usar um alias do repositório de políticas como o valor de um policyStoreId parâmetro, você deve incluir o policy-store-alias/ prefixo. Por exemplo, usepolicy-store-alias/example-policy-store, nãoexample-policy-store.

Usando aliases do repositório de políticas em Operações

O IsAuthorized comando a seguir usa um alias de armazenamento de políticas com o nome example-policy-store para identificar um repositório de políticas.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/example-policy-store \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123
nota

Você não pode usar um alias de armazenamento de políticas no lugar do policyStoreId campo para a DeletePolicyStoreoperação.

Usando aliases do Policy Store Across Regiões da AWS

Um dos usos mais poderosos dos aliases é em aplicações executadas em várias Regiões da AWS. Por exemplo, você pode ter um aplicativo global que usa diferentes repositórios de políticas em cada região.

  • Em us-east-1, você deseja usar. PSEXAMPLEabcdefg111111

  • Em eu-west-1, você deseja usar. PSEXAMPLEabcdefg222222

Você pode criar uma versão diferente do seu aplicativo em cada região ou usar um dicionário ou instrução switch para selecionar o repositório de políticas correto para cada região. Mas é muito mais fácil criar um alias do repositório de políticas com o mesmo nome de alias do repositório de políticas em cada região. Lembre-se de que o nome do alias do repositório de políticas diferencia maiúsculas de minúsculas.

AWS CLI
$ aws --region us-east-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg111111

$ aws --region eu-west-1 verifiedpermissions create-policy-store-alias \
    --alias-name policy-store-alias/my-app \
    --policy-store-id PSEXAMPLEabcdefg222222

Em seguida, use o alias do repositório de políticas em seu código. Quando seu código é executado em cada região, o alias do repositório de políticas se referirá ao repositório de políticas associado nessa região.

AWS CLI
$ aws verifiedpermissions is-authorized \
    --policy-store-id policy-store-alias/my-app \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=photo123

No entanto, existe o risco de que o alias do repositório de políticas seja excluído. Nesse caso, as tentativas do aplicativo de usar o nome do alias do repositório de políticas falharão e talvez seja necessário recriar ou atualizar o alias do repositório de políticas. Para mitigar esse risco, tenha cuidado ao dar permissão aos diretores para gerenciar os aliases do repositório de políticas que você usa em seu aplicativo.