政策聲明結構 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

政策聲明結構

本節說明「AWS已驗證存取」原則陳述式及其評估方式。您可以在單一「已驗證存取」原則中有多個陳述式。下圖顯示已驗證存取原則的結構。

已驗證存取原則結構

該策略包含以下部分:

  • 效果 — 指定政策陳述式為 permit (Allow) 還是 forbid (Deny)。

  • 範圍 — 指定效果適用的主參與者、動作和資源。您可以不識別特定主參與者、動作或資源 (如前面範例所示),讓 Cedar 中的範圍保持未定義。在此情況下,原則會套用至所有可能的主參與者、動作及資源。

  • 條件子句 — 指定套用效果的內容。

重要

針對「已驗證存取」,原則會透過參照條件子句中的信任內容來完整表示。政策範圍必須始終保持未定義。然後,您可以使用條件子句中的身分識別和裝置信任內容來指定存取權。

簡單的政策範例

permit(principal,action,resource) when{ context.<policy-reference-name>.<attribute> && context.<policy-reference-name>.<attribute2> };

在上述範例中,請注意,您可以使用&&運算子在原則陳述式中使用一個以上的條件子句。Cedar 政策語言賦予您表現力,讓您能夠建立自訂、精細且廣泛的政策聲明。如需額外的範例,請參閱政策範例