驗證存取原則陳述式結構

本節說明政 AWS Verified Access 策聲明及其評估方式。您可以在單一「已驗證存取」原則中有多個陳述式。下圖顯示已驗證存取原則的結構。

該策略包含以下部分：

• 效果 — 指定政策陳述式為 permit (Allow) 還是 forbid (Deny)。

• 範圍 — 指定效果所套用的主參與者、動作及資源。您可以不識別特定主參與者、動作或資源 (如前面範例所示)，讓 Cedar 中的範圍保持未定義。在此情況下，原則會套用至所有可能的主參與者、動作及資源。

• 條件子句 — 指定套用效果的內容。

重要

針對「已驗證存取」，原則會透過參照條件子句中的信任資料來完整表示。政策範圍必須始終保持未定義。然後，您可以使用條件子句中的身分識別和裝置信任內容來指定存取權。

簡單的政策範例

permit(principal,action,resource)
when{
 context.<policy-reference-name>.<attribute> &&
 context.<policy-reference-name>.<attribute2>
};

在上述範例中，請注意，您可以使用&&運算子在原則陳述式中使用一個以上的條件子句。Cedar 政策語言賦予您表現力，讓您能夠建立自訂、精細且廣泛的政策聲明。如需額外的範例，請參閱已驗證存取範例原則。