Politiques relatives aux autorisations vérifiées par Amazon - Amazon Verified Permissions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques relatives aux autorisations vérifiées par Amazon

Une politique est une déclaration qui permet ou interdit à un mandant d'effectuer une ou plusieurs actions sur une ressource. Chaque politique est évaluée indépendamment des autres politiques. Pour plus d'informations sur la manière dont les politiques Cedar sont structurées et évaluées, consultez la section Validation des politiques Cedar par rapport au schéma dans le Guide de référence du langage de politique Cedar.

Important

Lorsque vous rédigez des politiques Cedar qui font référence à des principes, à des ressources et à des actions, vous pouvez définir les identifiants uniques utilisés pour chacun de ces éléments. Nous vous recommandons vivement de suivre les meilleures pratiques suivantes :

  • Utilisez des identificateurs uniques universels (UUIDs) pour tous les identifiants principaux et de ressources.

    Par exemple, si un utilisateur jane quitte l'entreprise et que vous autorisez ensuite quelqu'un d'autre à utiliser le nomjane, ce nouvel utilisateur a automatiquement accès à tout ce qui est accordé par les politiques qui font toujours référenceUser::"jane". Cedar ne fait pas la distinction entre le nouvel utilisateur et l'ancien. Cela s'applique à la fois aux identificateurs principaux et aux identificateurs de ressources. Utilisez toujours des identifiants dont l'unicité est garantie et qui ne sont jamais réutilisés afin de ne pas autoriser l'accès par inadvertance en raison de la présence d'un ancien identifiant dans une politique.

    Lorsque vous utilisez un UUID pour une entité, nous vous recommandons de le suivre avec le spécificateur//comment et le nom « convivial » de votre entité. Cela permet de faciliter la compréhension de vos politiques. Par exemple : principal == Rôle : « a1b2c3d4-e5f6-a1b2-c3d4- »,//administrateurs EXAMPLE11111

  • N'incluez pas d'informations d'identification personnelle, confidentielles ou sensibles dans l'identifiant unique de vos mandants ou de vos ressources. Ces identifiants sont inclus dans les entrées de journal partagées dans les AWS CloudTrail sentiers.

Rubriques