Amazon Verified Permissions 政策範本和範本連結政策

在 Verified Permissions 中，政策範本是具有 principal、 resource或兩者預留位置的政策。政策範本無法單獨用於處理授權請求。若要處理授權請求，必須根據政策範本建立範本連結政策。政策範本允許政策定義一次，然後與多個主體和資源搭配使用。政策範本的更新會反映在使用該範本的所有政策中。如需詳細資訊，請參閱《 Cedar 政策語言參考指南》中的 Cedar 政策範本。

您可以選擇性地將政策範本名稱指派給政策範本。政策範本名稱在政策存放區中必須是唯一的，字首必須是 name/。您可以在接受policyTemplateId參數的控制平面操作中使用政策範本名稱取代政策範本 ID。只有 GetPolicyTemplate和 會在輸出中ListPolicyTemplates傳回名稱。下列範例使用政策範本名稱來擷取具有 的政策範本GetPolicyTemplate。

$ aws verifiedpermissions get-policy-template \
    --policy-template-id name/example-policy-template \
    --policy-store-id PSEXAMPLEabcdefg111111

例如，下列政策範本為使用政策範本的委託人和資源提供 Edit、 和 ReadComment許可。

permit(
  principal == ?principal,
  action in [Action::"Read", Action::"Edit", Action::"Comment"],
  resource == ?resource
);

如果您要Editor根據此範本建立名為 的政策，當委託人被指定為特定資源的編輯器時，您的應用程式會建立政策，提供許可讓委託人讀取、編輯和評論資源。

與靜態政策不同，範本連結政策是動態的。以上述範例為例，如果您要從政策範本中移除Comment動作，任何連結至或根據該範本的政策都會隨之更新，且政策中指定的委託人將無法再對對應的資源進行評論。

如需更多範本連結政策範例，請參閱 Amazon Verified Permissions 範本連結政策範例。