翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Verified Access ポリシーの例

Verified Access ポリシーを使用して、特定のユーザーとデバイスにアプリケーションへのアクセスを許可できます。

例 1: IAM Identity Center のグループへのアクセスを許可する

を使用する場合は AWS IAM Identity Center、 を使用してグループを参照することをお勧めしますIDs。これにより、グループの名前を変更した場合にポリシーステートメントが壊れるのを防ぐことができます。

次のポリシー例では、検証済みの E メールアドレスを持つ指定されたグループ内のユーザーにのみアクセスを許可します。グループ ID は です。c242c5b0-6081-1845-6fa8-6e0d9513c107.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};

次のポリシー例では、ユーザーが指定されたグループに属し、ユーザーが検証済みの E メールアドレスを持ち、Jamf デバイスリスクスコアが の場合にのみアクセスを許可しますLOW。

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};

信頼データの詳細については、「」を参照してくださいAWS IAM Identity Center Verified Access 信頼データのコンテキスト。

例 2: サードパーティープロバイダーのグループへのアクセスを許可する

次のポリシー例では、ユーザーが指定されたグループに属し、ユーザーが検証済みの E メールアドレスを持ち、Jamf デバイスリスクスコアが の場合にのみアクセスを許可しますLOW。グループの名前は「財務」です。

permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};

信頼データの詳細については、「」を参照してくださいVerified Access 信頼データのサードパーティー信頼プロバイダーコンテキスト。

例 3: を使用してアクセスを許可する CrowdStrike

次のポリシー例では、全体評価のスコアが 50 を超えるとアクセスが許可されます。

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

例 4: 特定の IP アドレスを許可または拒否する

次のポリシー例では、指定された IP アドレスからのリクエストのみを許可します。

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

次のポリシー例では、指定された IP アドレスからのリクエストを拒否します。

forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};