已验证访问策略声明结构

本节介绍了 AWS Verified Access 政策声明及其评估方式。一个 Verified Access 策略中可以有多个声明。下图展示了 Verified Access 策略的结构。

策略包含以下几部分：

• 效果 – 指定策略语句是 permit（Allow）还是 forbid（Deny）。

• 范围 – 指定效果适用的主体、操作和资源。您可以通过不标识特定主体、操作或资源来使 Cedar 中的范围保持未定义状态（如前面的示例所示）。在这种情况下，策略适用于所有可能的主体、操作和资源。

• 条件子句 – 指定应用效果的上下文。

重要

对于 Verified Access，通过在条件子句中引用信任数据来完全表达策略。策略范围必须始终保持未定义状态。然后，您可以在条件子句中使用身份和设备信任上下文指定访问权限。

简单策略示例

permit(principal,action,resource)
when{
 context.<policy-reference-name>.<attribute> &&
 context.<policy-reference-name>.<attribute2>
};

在前面的示例中，请注意，您可以利用 && 运算符在一个策略语句中使用多个条件子句。使用 Cedar 策略语言可以创建自定义、精细和广泛的策略声明。有关其他示例，请参阅 已验证访问权限示例策略。