Utilise la notation entre crochets pour référencer les attributs des jetons Utilise la notation par points pour référencer les attributs Reflète les attributs du jeton d'identification Amazon Cognito Reflète les attributs des jetons d'OIDCidentification Reflète les attributs du jeton d'accès Amazon Cognito Reflète les attributs des jetons d'OIDCaccès

Exemples de politiques relatives aux autorisations vérifiées par Amazon

Certains des exemples de politiques inclus ici sont des exemples de politiques de base de Cedar, tandis que d'autres sont spécifiques aux autorisations vérifiées. Les principaux renvoient au guide de référence du langage politique de Cedar et y sont inclus. Pour plus d'informations sur la syntaxe des politiques Cedar, consultez la section Construction de base des politiques dans Cedar dans le Guide de référence du langage de politique Cedar.

Exemples de politiques

Permet l'accès à des entités individuelles
Permet l'accès à des groupes d'entités
Permet l'accès à n'importe quelle entité
Autorise l'accès aux attributs d'une entité (ABAC)
Refuse l'accès
Utilise la notation entre crochets pour référencer les attributs des jetons
Utilise la notation par points pour référencer les attributs
Reflète les attributs du jeton d'identification Amazon Cognito
Reflète les attributs des jetons d'OIDCidentification
Reflète les attributs du jeton d'accès Amazon Cognito
Reflète les attributs des jetons d'OIDCaccès

Utilise la notation entre crochets pour référencer les attributs des jetons

L'exemple suivant montre comment créer une politique qui utilise la notation entre crochets pour référencer les attributs des jetons.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

Utilise la notation par points pour référencer les attributs

L'exemple suivant montre comment créer une politique qui utilise la notation par points pour référencer les attributs.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflète les attributs du jeton d'identification Amazon Cognito

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'identification depuis Amazon Cognito.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Reflète les attributs des jetons d'OIDCidentification

L'exemple suivant montre comment créer une politique faisant référence aux attributs de jeton d'identification d'un OIDC fournisseur.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Reflète les attributs du jeton d'accès Amazon Cognito

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'accès depuis Amazon Cognito.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

Reflète les attributs des jetons d'OIDCaccès

L'exemple suivant montre comment créer une politique faisant référence aux attributs des jetons d'accès d'un OIDC fournisseur.

Pour plus d'informations sur l'utilisation des attributs de jeton dans les politiques des autorisations vérifiées, voir Associer les jetons du fournisseur d'identité au schéma


permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques de test

Modèles de politiques et politiques liées à des modèles