本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證存取原則助理
「已驗證存取」原則助理是「已驗證存取」主控台中的工具,可用來測試和開發原則。它會在一個畫面上顯示端點策略、群組原則和信任內容,您可以在其中測試和編輯策略。
信任內容格式會因不同的信任提供者而異,有時「已驗證存取」系統管理員可能不知道特定信任提供者使用的確切格式。這就是為什麼將信任內容以及群組和端點政策集中在一個位置以進行測試和開發目的,可能會非常有幫助。
下列各節說明使用原則編輯器的基本概念。
步驟 1:指定資源
在原則助理員的第一頁上,您可以指定要使用的已驗證存取端點。您也將指定使用者 (以電子郵件地址識別),以及選擇性地指定使用者的名稱和/或裝置識別碼。根據預設,會從指定使用者的「已驗證存取」記錄中擷取最新的授權決定。您可以選擇性地特別選擇最新的允許或拒絕決定。
最後,信任內容、授權決策、端點原則和群組原則都會顯示在下一個畫面上。
開啟原則助理員並指定您的資源
-
在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在瀏覽窗格中,選擇「已驗證存取權」執行個體,然後針對您要使用的執行個體按一下「已驗證存取權」執行個體 ID。
-
選擇 [啟動原則助理]。
-
在 [使用者電子郵件地址] 中,輸入使用者的電子郵件地址。
-
對於「已驗證存取」端點,選取您要編輯和測試策略的端點。
-
(選擇性) 在名稱中,提供使用者的名稱。
-
(選用) 在 [裝置識別碼] 下,提供唯一的裝置識別碼。
-
(選擇性) 針對授權結果,請選擇您要使用的最近授權結果類型。默認情況下,將使用最新的授權結果。
-
選擇 Next (下一步)。
步驟 2:測試和編輯策略
在此頁面上,您將看到以下資訊以供您使用:
-
您的信任提供者為使用者及 (選擇性) 您在上一個步驟中指定的裝置所傳送的信任內容。
-
在上一個步驟中指定的「已驗證存取」端點的 Cedar 原則。
-
端點所屬之已驗證存取群組的 Cedar 原則。
您可以在此頁面上編輯「已驗證存取」端點和群組的 Cedar 原則,但信任內容是靜態的。您現在可以使用此頁面來檢視 Cedar 原則旁邊的信任內容。
選擇 [測試原則] 按鈕,針對信任內容測試原則,授權結果就會顯示在畫面上。您可以編輯策略並重新測試變更,並視需要重複此程序。
對策略所做的變更感到滿意之後,請選擇 [下一步] 繼續進行原則助理員的下一個畫面。
步驟 3:檢閱並套用變更
在政策助理的最後一頁上,您將看到您對突出顯示的政策所做的更改,以便於查看。您現在可以最後一次檢閱它們,然後選擇 [套用變更] 以確認變更。
您也可以選擇 [上一頁] 返回上一頁,或選擇 [取消] 完全取消原則助理。
