Exemples de politiques d'accès vérifié - AWS Accès vérifié
Autoriser l'accès à un groupe dans IAM Identity CenterAccorder l'accès à un groupe chez un fournisseur tiersAccorder l'accès en utilisant CrowdStrikeAutoriser ou refuser une adresse IP spécifique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques d'accès vérifié

Vous pouvez utiliser les politiques d'accès vérifié pour accorder l'accès à vos applications à des utilisateurs et à des appareils spécifiques.

Exemple 1 : accorder l'accès à un groupe dans IAM Identity Center

Lors de l'utilisation AWS IAM Identity Center, il est préférable de faire référence aux groupes en utilisant leurIDs. Cela permet d'éviter de violer une déclaration de politique si vous modifiez le nom du groupe.

L'exemple de politique suivant autorise l'accès uniquement aux utilisateurs du groupe spécifié possédant une adresse e-mail vérifiée. L'identifiant du groupe est c242c5b0-6081-1845-6fa8-6e0d9513c107.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};

L'exemple de politique suivant autorise l'accès uniquement lorsque l'utilisateur fait partie du groupe spécifié, que l'utilisateur possède une adresse e-mail vérifiée et que le score de risque de l'appareil Jamf est LOW égal à.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};

Pour plus d'informations sur les données de confiance, consultezAWS IAM Identity Center contexte pour les données de confiance Verified Access.

Exemple 2 : accorder l'accès à un groupe chez un fournisseur tiers

L'exemple de politique suivant autorise l'accès uniquement lorsque l'utilisateur fait partie du groupe spécifié, que l'utilisateur possède une adresse e-mail vérifiée et que le score de risque de l'appareil Jamf est LOW égal à. Le nom du groupe est « finance ».

permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};

Pour plus d'informations sur les données de confiance, consultezContexte du fournisseur de confiance tiers pour les données de confiance Verified Access.

Exemple 3 : Accorder l'accès en utilisant CrowdStrike

L'exemple de politique suivant autorise l'accès lorsque le score d'évaluation global est supérieur à 50.

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

Exemple 4 : autoriser ou refuser une adresse IP spécifique

L'exemple de politique suivant autorise uniquement les demandes provenant de l'adresse IP spécifiée.

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

L'exemple de politique suivant refuse les demandes provenant de l'adresse IP spécifiée.

forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};