Richtlinien für verifizierte Berechtigungen von Amazon - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für verifizierte Berechtigungen von Amazon

Eine Richtlinie ist eine Erklärung, die einem Auftraggeber entweder erlaubt oder verbietet, eine oder mehrere Maßnahmen an einer Ressource durchzuführen. Jede Richtlinie wird unabhängig von allen anderen Richtlinien bewertet. Weitere Informationen darüber, wie die Richtlinien von Cedar strukturiert und bewertet werden, finden Sie unter Überprüfung der Cedar-Richtlinien anhand des Schemas im Referenzhandbuch zur Sprache der Cedar-Richtlinien.

Wichtig

Wenn Sie Cedar-Richtlinien verfassen, die sich auf Prinzipale, Ressourcen und Aktionen beziehen, können Sie die eindeutigen Identifikatoren definieren, die für jedes dieser Elemente verwendet werden. Wir empfehlen Ihnen dringend, die folgenden Best Practices zu befolgen:

  • Verwenden Sie universell eindeutige Bezeichner (UUIDs) für alle Haupt- und Ressourcen-Identifikatoren.

    Wenn beispielsweise ein Benutzer das Unternehmen jane verlässt und Sie später eine andere Person den Namen verwenden lassen, erhält dieser neue Benutzer automatisch Zugriff auf allesjane, was durch Richtlinien gewährt wird, auf die immer noch verwiesen wird. User::"jane" Cedar kann nicht zwischen dem neuen und dem alten Benutzer unterscheiden. Dies gilt sowohl für Prinzipal- als auch für Ressourcen-IDs. Verwenden Sie immer Identifikatoren, die garantiert einzigartig sind und niemals wiederverwendet werden, um sicherzustellen, dass Sie nicht versehentlich Zugriff gewähren, weil eine Richtlinie eine alte Kennung enthält.

    Wenn Sie eine UUID für eine Entität verwenden, empfehlen wir, dass Sie ihr die Kommentarspezifikation//und den „freundlichen“ Namen Ihrer Entität folgen. Dies trägt dazu bei, dass Ihre Richtlinien leichter verständlich sind. Zum Beispiel: principal == Role: :"a1b2c3d4-e5f6-a1b2-c3d4- „,//Administratoren EXAMPLE11111

  • Nehmen Sie keine personenbezogenen, vertraulichen oder sensiblen Informationen als Teil der eindeutigen Kennung für Ihre Prinzipale oder Ressourcen auf. Diese Kennungen sind in Protokolleinträgen enthalten, die in Trails geteilt werden. AWS CloudTrail

Themen