AWS IAM Identity Center contexte pour les données de confiance Verified Access - AWS Accès vérifié

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS IAM Identity Center contexte pour les données de confiance Verified Access

Lorsqu'une politique est évaluée, si vous la définissez en AWS IAM Identity Center tant que fournisseur de confiance, Accès vérifié par AWS inclut les données de confiance dans le contexte Cedar sous la clé que vous spécifiez comme « nom de référence de la politique » dans la configuration du fournisseur de confiance. Vous pouvez rédiger une politique qui évalue par rapport aux données de confiance si vous le souhaitez.

Note

La clé de contexte de votre fournisseur de confiance provient du nom de référence de politique que vous configurez lorsque vous créez le fournisseur de confiance. Par exemple, si vous configurez le nom de référence de la politique comme « idp123 », la clé de contexte sera « context.idp123 ». Vérifiez que vous utilisez la bonne clé de contexte lorsque vous créez la politique.

Le JSONschéma suivant indique quelles données sont incluses dans l'évaluation.

{
   "title": "AWS IAM Identity Center context specification",
   "type": "object",
   "properties": {
     "user": {
       "type": "object",
       "properties": {
         "user_id": {
           "type": "string",
           "description": "a unique user id generated by AWS IdC"
         },
         "user_name": {
           "type": "string",
           "description": "username provided in the directory"
         },
         "email": {
           "type": "object",
           "properties": {
             "address": {
               "type": "email",
               "description": "email address associated with the user"
             },
             "verified": {
               "type": "boolean",
               "description": "whether the email address has been verified by AWS IdC"
             }
           }
         }
       }
     },
     "groups": {
       "type": "object",
       "description": "A list of groups the user is a member of",
       "patternProperties": {
         "^[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}$": {
           "type": "object",
           "description": "The Group ID of the group",
           "properties": {
             "group_name": {
               "type": "string",
               "description": "The customer-provided name of the group"
             }
           }
         }
       }
     }
   }
 }

Voici un exemple de politique qui évalue par rapport aux données de confiance fournies par AWS IAM Identity Center.

permit(principal, action, resource) when {
   context.idc.user.email.verified == true
   // User is in the "sales" group with specific ID
   && context.idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
 };
Note

Comme les noms de groupes peuvent être modifiés, IAM Identity Center fait référence aux groupes en utilisant leur identifiant de groupe. Cela permet d'éviter de violer une déclaration de politique lorsque vous modifiez le nom d'un groupe.