As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Estrutura da declaração de política
Esta seção descreve a declaração da política de Acesso Verificado pela AWS e como ela é avaliada. Você pode ter várias declarações em uma única política de acesso verificado. O diagrama a seguir mostra uma estrutura de uma política de acesso verificado.
A política contém os elementos a seguir:
-
Efeito — Especifica se a declaração de política é
permit
(Allow
) ouforbid
(Deny
). -
Escopo — especifica os princípios, as ações e os recursos aos quais o efeito se aplica. Você pode deixar o escopo no Cedar indefinido ao não identificar princípios, ações ou recursos específicos (conforme mostrado no exemplo anterior). Nesse caso, a política se aplica a todos os principais, ações e recursos possíveis.
-
Cláusula de condição — especifica o contexto no qual o efeito se aplica.
Importante
Para o Acesso Verificado, as políticas são totalmente expressas referindo-se ao contexto de confiança na cláusula condicional. O escopo da política deve sempre ser mantido indefinido. Em seguida, você pode especificar o acesso usando o contexto de confiança da identidade e do dispositivo na cláusula condicional.
Exemplo simples de política
permit(principal,action,resource)
when{
context.<policy-reference-name>.<attribute> &&
context.<policy-reference-name>.<attribute2>
};
No exemplo anterior, observe que você pode usar mais de uma cláusula de condição em uma declaração de política usando o &&
operador. A linguagem de políticas do Cedar oferece um poder expressivo para criar declarações de políticas personalizadas, refinadas e abrangentes. Para obter exemplos adicionais, consulte Exemplo de políticas.