创建模板链接策略 - Amazon Verified Permissions

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建模板链接策略

您可以创建模板链接策略以链接到策略模板。模板链接策略与其策略模板保持关联。如果您更改策略模板中的策略声明,则任何链接到该模板的策略将自动使用新声明来做出从那一刻起做出的所有授权决定。

AWS Management Console
要通过实例化策略模板来创建模板链接策略,请按以下步骤操作:

  1. 打开 Verified Permissions 控制台,网址为 https://console.aws.amazon.com/verifiedpermissions/。选择您的保单存储。

  2. 在左侧的导航窗格中,选择策略

  3. 选择创建策略,然后选择创建模板链接策略

  4. 选中要使用的策略模板旁边的单选按钮,然后选择下一步

  5. 输入要用于此模板链接策略特定实例的主体资源。指定的值显示在预览策略语句字段中。

    注意

    主体资源值的格式必须与静态策略相同。例如,要为主体指定 AdminUsers 组,请输入 Group::"AdminUsers"。如果您输入 AdminUsers,会显示验证错误。

  6. 选择创建模板链接策略

    新的模板链接策略显示在策略下。

AWS CLI
要通过实例化策略模板来创建模板链接策略,请按以下步骤操作:

您可以创建一个模板链接策略,该策略引用现有策略模板,并为该模板使用的任何占位符指定值。

下方示例创建了一个模板链接策略,该策略使用包含以下语句的模板:

permit(
    principal in ?principal,
    action == Action::"view",
    resource == Photo::"VacationPhoto94.jpg"
);

它还使用下方的 definition.txt 文件来提供 definition 参数的值:

{
    "templateLinked": {
        "policyTemplateId": "pt-4651be67-c128-4d22-8e67-9b068980c631",
        "principal": {
            "entityType": "User",
            "entityId": "alice"
        }
    }
}

输出显示的是从模板中获得的资源和从定义参数中获得的主体

$ aws verifiedpermissions create-policy \
    --definition file://definition.txt
    --policy-store-id PSEXAMPLEabcdefg111111
{
    "createdDate": "2023-05-22T18:57:53.298278+00:00",
    "lastUpdatedDate": "2023-05-22T18:57:53.298278+00:00",
    "policyId": "TPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "TEMPLATELINKED",
    "principal": {
        "entityId": "alice",
        "entityType": "User"
    },
    "resource": {
        "entityId": "VacationPhoto94.jpg",
        "entityType": "Photo"
    }
}