Ejemplos de políticas de Acceso verificado - Acceso verificado de AWS
Conceder acceso a un grupo de IAM Identity CenterConceder acceso a un grupo de un proveedor externoConceder acceso mediante CrowdStrikePermitir o rechazar una dirección IP específica

Ejemplos de políticas de Acceso verificado

Puede utilizar las políticas de Acceso verificado para conceder acceso a sus aplicaciones a usuarios y dispositivos específicos.

Ejemplo 1: Conceder acceso a un grupo de IAM Identity Center

Al usar AWS IAM Identity Center, es mejor hacer referencia a los grupos utilizando sus ID. Esto ayuda a que no se infrinja una declaración de política si cambia el nombre de un grupo.

El siguiente ejemplo de política permite el acceso solo a los usuarios del grupo especificado con una dirección de correo electrónico verificada. El ID del grupo es c242c5b0-6081-1845-6fa8-6e0d9513c107.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};

El siguiente ejemplo de política permite el acceso solo cuando el usuario está en el grupo especificado, el usuario tiene una dirección de correo electrónico verificada y la puntuación de riesgo del dispositivo Jamf es LOW.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};

Para obtener más información sobre los datos de confianza, consulte Contexto de AWS IAM Identity Center para datos de confianza de Acceso verificado.

Ejemplo 2: Conceder acceso a un grupo de un proveedor externo

El siguiente ejemplo de política permite el acceso solo cuando el usuario está en el grupo especificado, el usuario tiene una dirección de correo electrónico verificada y la puntuación de riesgo del dispositivo Jamf es BAJA. El nombre del grupo en es "finance".

permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};

Para obtener más información sobre los datos de confianza, consulte Contexto de proveedor de confianza externo para datos de confianza de Acceso verificado.

Ejemplo 3: Conceder acceso mediante CrowdStrike

El siguiente ejemplo de política permite el acceso cuando la puntuación general de la evaluación es superior a 50.

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

Ejemplo 4: Permitir o rechazar una dirección IP específica

La siguiente política de ejemplo permite las solicitudes únicamente desde la dirección IP especificada.

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

La siguiente política de ejemplo rechaza las solicitudes únicamente desde la dirección IP especificada.

forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};