Verified Access ポリシーステートメント構造

このセクションでは、 AWS Verified Access ポリシーステートメントとその評価方法について説明します。ひとつの Verified Access ポリシーに複数のステートメントを設定できます。Verified Access ポリシーの構造は、以下の図の通りです。

ポリシーには、次の部分が含まれます。

• 効果 — ポリシーステートメントが permit (Allow) か forbid (Deny) かを指定します。

• 対象範囲 — 効果を適用するプリンシパル、アクション、リソースを指定します。特定のプリンシパル、アクション、またはリソースを特定しないことで、Cedar の対象範囲を未定義のままにしておくことができます (前の例を参照)。この場合、ポリシーはすべてのプリンシパル、アクション、リソースに適用されます。

• 条件節 — 効果が適用されるコンテキストを指定します。

重要

Verified Access では、条件節に含まれるトラストデータを参照することでポリシーが完全に表現されます。ポリシーの対象範囲は、常に未定義のままにしておく必要があります。その後、条件節に含まれる ID とデバイスのトラストコンテキストを使用してアクセスを指定できます。

簡単なポリシーの例

permit(principal,action,resource)
when{
 context.<policy-reference-name>.<attribute> &&
 context.<policy-reference-name>.<attribute2>
};

前の例では、&& 演算子を使用して 1 つのポリシーステートメントに複数の条件節を使用できることにご注意ください。Cedar のポリシー言語を使うと、カスタムできめ細かな広範囲にわたるポリシーステートメントを作成する表現力が得られます。その他の例については、「Verified Access ポリシーの例」を参照してください。