已驗證存取範例原則 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

已驗證存取範例原則

範例 1:建立IAM身分識別中心的原則

注意

由於群組名稱可以變更,IAM身分識別中心是指使用其群組 ID 的群組。這有助於避免在變更群組名稱時中斷原則陳述式。

下列範例原則只有在使用者屬於finance群組 (其群組識別碼為c242c5b0-6081-1845-6fa8-6e0d9513c107) 且擁有已驗證的電子郵件地址時,才允許存取。

permit(principal,action,resource)
when {
    context.<policy-reference-name>.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.<policy-reference-name>.user.email.verified == true
};

範例 1b:將更多條件新增至IAM身分識別中心的原則陳述式

下列範例原則只有在使用者屬於finance群組 (其群組識別碼為c242c5b0-6081-1845-6fa8-6e0d9513c107)、擁有已驗證的電子郵件地址,且 Jamf 裝置風險評分為LOW時,才允許存取。

permit(principal,action,resource)
when {
    context.<policy-reference-name>.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.<policy-reference-name>.user.email.verified == true
    && context.jamf.risk == "LOW"
};

範例 2:第三方OIDC供應商的相同政策

下列範例原則只有在使用者來自「財務」群組、擁有已驗證的電子郵件地址,且 Jamf 裝置風險評分為LOW時,才允許存取。

permit(principal,action,resource)
when {
     context.<policy-reference-name>.groups.contains("finance") 
     && context.<policy-reference-name>.email_verified == true
     && context.jamf.risk == "LOW"
};

範例 3:使用 CrowdStrike

當整體評估分數大於 50 時,下列範例原則允許存取。

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

範例 4:使用特殊字元

下列範例顯示如果內容屬性使用 : (分號) (原則語言中的保留字元),如何撰寫原則。

permit(principal, action, resource) 
when {
    context.<policy-reference-name>["namespace:groups"].contains("finance")
};

範例 5:允許特定 IP 位址

下列範例顯示只允許特定 IP 位址的策略。

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

範例 5a:封鎖特定 IP 位址

下列範例顯示將封鎖特定 IP 位址的策略。

forbid(principal,action,resource) 
when { 
ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};