Kebijakan contoh Akses Terverifikasi - AWS Akses Terverifikasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan contoh Akses Terverifikasi

Contoh 1: Membuat kebijakan untuk Pusat IAM Identitas

catatan

Karena nama grup dapat diubah, Pusat IAM Identitas mengacu pada grup yang menggunakan ID grup mereka. Ini membantu menghindari melanggar pernyataan kebijakan saat mengubah nama grup.

Contoh kebijakan berikut memungkinkan akses hanya ketika pengguna termasuk dalam finance grup (yang memiliki ID grupc242c5b0-6081-1845-6fa8-6e0d9513c107) dan memiliki alamat email terverifikasi.

permit(principal,action,resource)
when {
    context.<policy-reference-name>.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.<policy-reference-name>.user.email.verified == true
};

Contoh 1b: Menambahkan lebih banyak kondisi ke pernyataan kebijakan untuk IAM Identity Center

Contoh kebijakan berikut mengizinkan akses hanya ketika pengguna termasuk dalam finance grup (yang memiliki ID grupc242c5b0-6081-1845-6fa8-6e0d9513c107), memiliki alamat email terverifikasi, dan skor risiko perangkat Jamf adalahLOW.

permit(principal,action,resource)
when {
    context.<policy-reference-name>.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.<policy-reference-name>.user.email.verified == true
    && context.jamf.risk == "LOW"
};

Contoh 2: Kebijakan yang sama untuk OIDC penyedia pihak ketiga

Contoh kebijakan berikut memungkinkan akses hanya ketika pengguna berasal dari grup “keuangan”, mereka memiliki alamat email terverifikasi, dan skor risiko perangkat Jamf adalahLOW.

permit(principal,action,resource)
when {
     context.<policy-reference-name>.groups.contains("finance") 
     && context.<policy-reference-name>.email_verified == true
     && context.jamf.risk == "LOW"
};

Contoh 3: Menggunakan CrowdStrike

Contoh kebijakan berikut memungkinkan akses ketika skor penilaian keseluruhan lebih besar dari 50.

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

Contoh 4: Bekerja dengan karakter khusus

Contoh berikut menunjukkan cara menulis kebijakan jika properti context menggunakan : (titik koma), yang merupakan karakter cadangan dalam bahasa kebijakan.

permit(principal, action, resource) 
when {
    context.<policy-reference-name>["namespace:groups"].contains("finance")
};

Contoh 5: Izinkan alamat IP tertentu

Contoh berikut menunjukkan kebijakan yang hanya mengizinkan alamat IP tertentu.

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

Contoh 5a: Blokir alamat IP tertentu

Contoh berikut menunjukkan kebijakan yang akan memblokir alamat IP tertentu.

forbid(principal,action,resource) 
when { 
ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};