拒绝访问

如果某个策略的效果是 forbid，则它会限制权限，而不是授予权限。

在授权期间，如果同时执行 permit 和 forbid 策略，则 forbid 优先。

以下示例使用了在 Cedar 策略语言参考指南的 “示例架构” 部分中 PhotoFlash 描述的假设应用程序中定义的属性。

此示例说明了如何创建一个策略，以拒绝用户 alice 对任何资源执行除 readOnly 以外的所有操作。


forbid (
  principal == User::"alice",
  action,
  resource
)
unless {
  action.readOnly
};

此示例说明了如何创建一个策略，以拒绝访问具有 private 属性的所有资源，主体具有该资源 owner 属性的情况除外。


forbid (
  principal,
  action,
  resource
)
when {
  resource.private
}
unless {
  principal == resource.owner
};

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

允许访问实体的属性（ABAC）

策略模板