本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 已验证权限策略存储别名
<a name="policy-store-aliases"></a>

策略存储别名是策略存储的友好名称。例如，策略存储别名允许您使用`policy-store-alias/example-policy-store`而不是来引用策略存储。`PSEXAMPLEabcdefg111111`策略存储别名可用于任何接受`policyStoreId`输入参数的已验证权限操作。

您可以使用 `CreatePolicyStoreAlias` API 或使用`AWS::VerifiedPermissions::PolicyStoreAlias` CloudFormation 资源为策略存储创建策略存储别名。

Amazon Verified Permissions API 可以完全控制每个 AWS 账户 和地区的策略存储别名。API 包括创建策略存储别名 (`CreatePolicyStoreAlias`)、查看策略存储别名和策略存储别名 ARN (`GetPolicyStoreAlias`,`ListPolicyStoreAliases`) 以及删除策略存储别名 (`DeletePolicyStoreAlias`) 的操作。

**Topics**
+ [策略存储别名的属性](#alias-properties)
+ [创建 Amazon 已验证权限策略存储别名](policy-store-aliases-create.md)
+ [正在检索 Amazon 已验证权限策略存储别名](policy-store-aliases-retrieve.md)
+ [删除 Amazon 已验证权限策略存储别名](policy-store-aliases-delete.md)
+ [使用 Amazon 已验证权限策略在 API 操作中存储别名](policy-store-aliases-using.md)
+ [控制对策略存储别名的访问权限](policy-store-aliases-control-access.md)

## 策略存储别名的属性
<a name="alias-properties"></a>

亚马逊验证权限中的策略存储别名是如何运作的。

**策略存储别名是独立的 AWS 资源**  
策略存储别名不是策略存储的属性。您对策略存储别名采取的操作不会影响其关联的策略存储。您可以删除策略存储别名，而不会对关联的策略存储产生任何影响。如果删除策略存储，则与该策略存储关联的所有策略存储别名也会被删除。

每个策略存储别名都有一个 Amazon 资源名称 (ARN)，用于唯一标识策略存储别名。如果您在 IAM 策略中将策略存储别名指定为资源，则该策略指的是策略存储别名，而不是关联的策略存储。

**每个策略存储区别名都有两种格式**  
创建策略存储别名时，需要指定策略存储别名。Amazon 验证权限会为您创建策略存储别名 ARN。
+ 策略存储别名 ARN 是唯一标识策略存储别名的亚马逊资源名称 (ARN)。

  ```
  # Alias ARN
  arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store
  ```
+ 策略存储别名，在 AWS 账户 和区域中是唯一的。在 Amazon 已验证权限 API 中，策略存储区别名始终以`policy-store-alias/`为前缀。

  ```
  # Alias name
  policy-store-alias/example-policy-store
  ```

**策略存储区别名不是秘密**  
策略存储别名可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。不要在策略存储别名中包含机密或敏感信息。

**每个策略存储别名一次都与一个策略存储关联**  
策略存储别名及其关联的策略存储必须属于相同 AWS 账户 和区域。您可以将策略存储别名与相同 AWS 账户 和区域中的任何策略存储相关联。

例如，此`ListPolicyStoreAliases`输出显示`example-policy-store`策略存储别名恰好与一个目标策略存储相关联，该目标存储由`policyStoreId`属性表示。

```
{
    "aliasName": "policy-store-alias/example-policy-store",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
    "createdAt": "2024-01-15T12:30:00.000000+00:00",
    "state": "Active"
}
```

**多个别名可以与同一个策略存储关联**  
例如，您可以将`example-policy-store`和`example-policy-store-2`别名与同一个策略存储相关联。

```
[
    {
        "aliasName": "policy-store-alias/example-policy-store",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store",
        "createdAt": "2024-01-15T12:30:00.000000+00:00",
        "state": "Active"
    },
    {
        "aliasName": "policy-store-alias/example-policy-store-2",
        "policyStoreId": "PSEXAMPLEabcdefg111111",
        "aliasArn": "arn:aws:verifiedpermissions:us-west-2:123456789012:policy-store-alias/example-policy-store-2",
        "createdAt": "2024-01-16T09:15:00.000000+00:00",
        "state": "Active"
    }
]
```

**策略存储区别名在中必须是唯一的 AWS 账户 和区域**  
例如，您只能有一个策略存储别名，每个别名分别为 `example-policy-store` “区域” AWS 账户 和 “区域”。策略存储区别名区分大小写。您无法更改策略存储的别名。但是，在 24 小时预留期到期后，您可以删除策略存储别名并使用所需名称创建新的策略存储别名。

您可以在不同的区域中创建具有相同名称的策略存储别名。每个策略存储区别名都将有一个唯一的 ARN。如果您的代码引用策略存储别名（例如）`policy-store-alias/example-policy-store`，则可以在多个区域中运行它。在每个区域，它使用不同的策略存储。

**策略存储别名支持软删除和硬删除**  
默认情况下，当策略存储别名被删除时，该别名会被软删除。策略存储别名的保留期限为 24 小时。如果您在此期间尝试创建具有相同名称的策略存储别名，则该请求将被拒绝。在此期间，`GetPolicyStoreAlias`返回带有`PendingDeletion`状态的策略存储别名。您也可以通过指定`HardDelete`为来硬删除策略存储别名`deletionMode`。硬删除的策略存储别名会立即删除，策略存储别名将立即可供重复使用。有关更多信息，请参阅 [删除 Amazon 已验证权限策略存储别名](policy-store-aliases-delete.md)。

**您可以使用别名来标识策略存储**  
在所有接受`policyStoreId`（例如`IsAuthorized`）的操作中，您可以使用策略存储别名来标识策略存储。在这种情况下，策略存储别名必须以为前缀`policy-store-alias/`。策略存储别名不能用于为`DeletePolicyStore`操作标识策略存储。

您不能使用策略存储别名或策略存储别名 ARN 来标识 IAM 策略`Resource`元素中的策略存储。要在通过策略存储别名引用策略存储时控制对策略存储的访问权限，请参阅[控制对策略存储别名的访问权限](policy-store-aliases-control-access.md)。