Struktur der Erklärung zur Verified Access-Richtlinie - AWS Verifizierter Zugriff
Komponenten der RichtlinieKommentareMehrere KlauselnReservierte Zeichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Struktur der Erklärung zur Verified Access-Richtlinie

Die folgende Tabelle zeigt die Struktur einer Richtlinie für verifizierten Zugriff.

Komponente Syntax
Auswirkung

permit | forbid
scope

(principal, action, resource)
Bedingungsklausel 
when {
    context.policy-reference-name.attribute-name             
};

Komponenten der Richtlinie

Eine Richtlinie für verifizierten Zugriff umfasst die folgenden Komponenten:

  • Auswirkung — Zugriff entweder permit (zulassen) oder forbid (verweigern).

  • Geltungsbereich — Die Prinzipien, Aktionen und Ressourcen, für die der Effekt gilt. Sie können den Geltungsbereich in Cedar undefiniert lassen, indem Sie keine bestimmten Prinzipale, Aktionen oder Ressourcen angeben. In diesem Fall gilt die Richtlinie für alle möglichen Prinzipale, Aktionen und Ressourcen.

  • Bedingungsklausel — Der Kontext, in dem der Effekt gilt.

Wichtig

Bei Verified Access werden Richtlinien vollständig ausgedrückt, indem in der Bedingungsklausel auf Vertrauensdaten verwiesen wird. Der Geltungsbereich der Richtlinie muss immer undefiniert bleiben. In der Bedingungsklausel können Sie dann den Zugriff anhand der Identität und des Gerätevertrauenskontextes spezifizieren.

Kommentare

Sie können Kommentare in Ihre AWS Verified Access Richtlinien aufnehmen. Kommentare sind als Zeilen definiert, die mit einem Zeilenumbruchzeichen beginnen // und damit enden.

Das folgende Beispiel zeigt Kommentare in einer Richtlinie.

// grants access to users in a specific domain using trusted devices
permit(principal, action, resource)
when {
  // the user's email address is in the @example.com domain
  context.idc.user.email.address.contains("@example.com")
  // Jamf thinks the user's computer is low risk or secure.
  && ["LOW", "SECURE"].contains(context.jamf.risk)
};

Mehrere Klauseln

Mithilfe des && Operators können Sie in einer Richtlinienerklärung mehr als eine Bedingungsklausel verwenden.

permit(principal,action,resource)
when{
 context.policy-reference-name.attribute1 &&
 context.policy-reference-name.attribute2
};

Weitere Beispiele finden Sie unter Beispielrichtlinien für verifizierten Zugriff.

Reservierte Zeichen

Das folgende Beispiel zeigt, wie eine Richtlinie geschrieben wird, wenn eine Kontexteigenschaft ein : (Semikolon) verwendet, was ein reserviertes Zeichen in der Richtliniensprache ist.

permit(principal, action, resource) 
when {
    context.policy-reference-name["namespace:groups"].contains("finance")
};