本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
拒绝访问
如果某个策略的效果是 forbid
,则它会限制权限,而不是授予权限。
重要
在授权期间,如果同时执行 permit
和 forbid
策略,则 forbid
优先。
以下示例使用了在 Cedar 策略语言参考指南的 “示例架构
此示例说明了如何创建一个策略,以拒绝用户 alice
对任何资源执行除 readOnly
以外的所有操作。
forbid ( principal == User::"alice", action, resource ) unless { action.readOnly };
此示例说明了如何创建一个策略,以拒绝访问具有 private
属性的所有资源,主体具有该资源 owner
属性的情况除外。
forbid ( principal, action, resource ) when { resource.private } unless { principal == resource.owner };