검증된 액세스 정책 설명 구조

이 섹션에서는 AWS Verified Access 정책 설명과 평가 방법을 설명합니다. 단일 Verified·Access 정책에 여러 설명을 포함할 수 있습니다. 다음 다이어그램은 Verified·Access 정책의 구조를 보여줍니다.

정책에는 다음 부분이 포함됩니다.

• 효과 – 정책 설명이 permit (Allow) 또는 forbid (Deny).인지 지정합니다.

• 범위 – 효과가 적용되는 주체, 작업 및 리소스를 지정합니다. 이전 예와 같이 특정 주체, 작업 또는 리소스를 식별하지 않음으로써 Cedar의 범위를 정의하지 않은 상태로 둘 수 있습니다. 이 경우 가능한 모든 주체, 작업 및 리소스에 정책이 적용됩니다.

• 조건 조항 - 효과가 적용되는 컨텍스트를 지정합니다.

중요

Verified Access의 경우 조건 조항의 신뢰 데이터를 참조하여 정책을 완전히 표현합니다. 정책 범위는 항상 정의되지 않은 상태로 유지해야 합니다. 그런 다음 조건 조항에서 ID 및 디바이스 신뢰 컨텍스트를 사용하여 액세스를 지정할 수 있습니다.

간단한 정책 예제

permit(principal,action,resource)
when{
 context.<policy-reference-name>.<attribute> &&
 context.<policy-reference-name>.<attribute2>
};

위 예제에서는 && 연산자를 사용하여 정책 설명에 조건 조항을 두 개 이상 사용할 수 있습니다. Cedar 정책 언어를 사용하면 사용자 맞춤의 세밀하고 광범위한 정책 설명을 작성할 수 있는 표현력을 얻을 수 있습니다. 추가 예제는 다음(검증된 액세스 예제 정책)을 참조하십시오.