翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Verified Access トラストデータのデフォルトコンテキスト
AWS Verified Access には、設定された信頼プロバイダーに関係なく、すべての Cedar 評価に現在のリクエストに関するいくつかの要素がデフォルトで含まれています。必要に応じて、データに対して評価を行うポリシーを作成できます。
以下は、評価に含まれるデータの例です。
HTTP リクエスト
ポリシーが評価されると、Verified Access は現在の HTTP リクエストに関するデータを context.http_requestキーの下の Cedar コンテキストに含めます。
{
"title": "HTTP Request data included by Verified Access",
"type": "object",
"properties": {
"user_agent": {
"type": "string",
"description": "The value of the User-Agent request header"
},
"x_forwarded_for": {
"type": "string",
"description": "The value of the X-Forwarded-For request header"
},
"http_method": {
"type": "string",
"description": "The HTTP method (for example, GET or POST)"
},
"hostname": {
"type": "string",
"description": "The value of the Host request header"
},
"port": {
"type": "integer",
"description": "The endpoint port"
},
"client_ip": {
"type": "string",
"description": "The IP address connecting to the endpoint"
}
}
}ポリシーの例
以下は、HTTP リクエストデータを使用する Cedar ポリシーの例です。
forbid(principal, action, resource) when {
context.http_request.http_method == "POST"
&& !(context.identity.roles.contains("Administrator"))
};TCP フロー
ポリシーが評価されると、Verified Access は現在の TCP フローに関するデータを context.tcp_flowキーの下の Cedar コンテキストに含めます。
{
"title": "TCP flow data included by Verified Access",
"type": "object",
"properties": {
"destination_ip": {
"type": "string",
"description": "The IP address of the target"
},
"destination_port": {
"type": "string",
"description": "The target port"
},
"client_ip": {
"type": "string",
"description": "The IP address connecting to the endpoint"
}
}
}