AWS IAM Identity Center contexto para los datos de confianza de Verified Access

Cuando se evalúa una política, si la define AWS IAM Identity Center como un proveedor de confianza, Acceso verificado de AWS incluya los datos de confianza en el contexto de Cedar bajo la clave que especifique como «nombre de referencia de la política» en la configuración del proveedor de confianza. Si lo desea, puede escribir una política que evalúe los datos de confianza.

nota

La clave de contexto de su proveedor de confianza proviene del nombre de referencia de la política que configuró al crear el proveedor de confianza. Por ejemplo, si configura el nombre de referencia de la política como «idp123», la clave de contexto será «context.idp123». Compruebe que está utilizando la clave de contexto correcta al crear la política.

El siguiente JSONesquema muestra los datos que se incluyen en la evaluación.


{
   "title": "AWS IAM Identity Center context specification",
   "type": "object",
   "properties": {
     "user": {
       "type": "object",
       "properties": {
         "user_id": {
           "type": "string",
           "description": "a unique user id generated by AWS IdC"
         },
         "user_name": {
           "type": "string",
           "description": "username provided in the directory"
         },
         "email": {
           "type": "object",
           "properties": {
             "address": {
               "type": "email",
               "description": "email address associated with the user"
             },
             "verified": {
               "type": "boolean",
               "description": "whether the email address has been verified by AWS IdC"
             }
           }
         }
       }
     },
     "groups": {
       "type": "object",
       "description": "A list of groups the user is a member of",
       "patternProperties": {
         "^[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}$": {
           "type": "object",
           "description": "The Group ID of the group",
           "properties": {
             "group_name": {
               "type": "string",
               "description": "The customer-provided name of the group"
             }
           }
         }
       }
     }
   }
 }

El siguiente es un ejemplo de política que se evalúa en función de los datos de confianza proporcionados por AWS IAM Identity Center.


permit(principal, action, resource) when {
   context.idc.user.email.verified == true
   // User is in the "sales" group with specific ID
   && context.idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
 };

nota

Como los nombres de los grupos se pueden cambiar, IAM Identity Center hace referencia a los grupos utilizando su ID de grupo. Esto ayuda a evitar infringir una declaración de política al cambiar el nombre de un grupo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Contexto predeterminado

Contexto de proveedor externo