本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
已验证访问策略声明结构
本节介绍了 AWS Verified Access 政策声明及其评估方式。一个 Verified Access 策略中可以有多个声明。下图展示了 Verified Access 策略的结构。
策略包含以下几部分:
-
效果 – 指定策略语句是
permit
(Allow
)还是forbid
(Deny
)。 -
范围 – 指定效果适用的主体、操作和资源。您可以通过不标识特定主体、操作或资源来使 Cedar 中的范围保持未定义状态(如前面的示例所示)。在这种情况下,策略适用于所有可能的主体、操作和资源。
-
条件子句 – 指定应用效果的上下文。
重要
对于 Verified Access,通过在条件子句中引用信任数据来完全表达策略。策略范围必须始终保持未定义状态。然后,您可以在条件子句中使用身份和设备信任上下文指定访问权限。
简单策略示例
permit(principal,action,resource)
when{
context.<policy-reference-name>.<attribute> &&
context.<policy-reference-name>.<attribute2>
};
在前面的示例中,请注意,您可以利用 &&
运算符在一个策略语句中使用多个条件子句。使用 Cedar 策略语言可以创建自定义、精细和广泛的策略声明。有关其他示例,请参阅 已验证访问权限示例策略。