기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS IAM Identity Center
정책을 평가할 때 AWS IAM Identity Center을(를) 신뢰 공급자로 정의하면 AWS Verified Access는 사용자가 신뢰 공급자 구성에서 “정책 참조 이름(Policy Reference Name)”으로 지정한 키 아래에 Cedar 컨텍스트의 신뢰 데이터를 포함합니다. 원하는 경우 신뢰 데이터를 기준으로 평가하는 정책을 작성할 수 있습니다.
참고
신뢰 공급자의 컨텍스트 키는 신뢰 공급자를 생성할 때 구성한 정책 참조 이름에서 가져옵니다. 예를 들어, 정책 참조 이름을 “idp123"으로 구성하면 컨텍스트 키는 “context.idp123"이 됩니다. 정책을 생성할 때 올바른 컨텍스트 키를 사용하고 있는지 확인합니다.
다음 JSON 스키마
{
"title": "AWS IAM Identity Center context specification",
"type": "object",
"properties": {
"user": {
"type": "object",
"properties": {
"user_id": {
"type": "string",
"description": "a unique user id generated by AWS IdC"
},
"user_name": {
"type": "string",
"description": "username provided in the directory"
},
"email": {
"type": "object",
"properties": {
"address": {
"type": "email",
"description": "email address associated with the user"
},
"verified": {
"type": "boolean",
"description": "whether the email address has been verified by AWS IdC"
}
}
}
}
},
"groups": {
"type": "object",
"description": "A list of groups the user is a member of",
"patternProperties": {
"^[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}$": {
"type": "object",
"description": "The Group ID of the group",
"properties": {
"group_name": {
"type": "string",
"description": "The customer-provided name of the group"
}
}
}
}
}
}
}다음은 AWS IAM Identity Center에서 제공하는 신뢰 데이터를 기준으로 평가하는 정책의 예입니다.
permit(principal, action, resource) when {
context.idc.user.email.verified == true
// User is in the "sales" group with specific ID
&& context.idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
};참고
그룹 이름은 변경될 수 있으므로 IAM Identity Center는 그룹 ID를 사용하여 그룹을 참조합니다. 이렇게 하면 그룹 이름을 변경할 때 정책 설명이 위반되는 것을 방지할 수 있습니다.
