翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Verified Access ポリシーの例
Verified Access ポリシーを使用して、特定のユーザーとデバイスにアプリケーションへのアクセス権を付与できます。
ポリシーの例
例 1: IAM アイデンティティセンターのグループにアクセス権を付与する
を使用する場合は AWS IAM Identity Center、IDs を使用してグループを参照することをお勧めします。これにより、グループの名前を変更した場合にポリシーステートメントが機能しなくなるのを防ぐことができます。
次のポリシー例では、指定されたグループに所属する、検証済みの E メールアドレスを持つユーザーにのみアクセスを許可します。グループ ID は c242c5b0-6081-1845-6fa8-6e0d9513c107 です。
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
};次のポリシー例では、ユーザーが指定のグループに所属し、検証済みの E メールアドレスを持っていて、Jamf デバイスリスクスコアが LOW の場合にのみアクセスを許可します。
permit(principal,action,resource)
when {
context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
&& context.policy-reference-name.user.email.verified == true
&& context.jamf.risk == "LOW"
};トラストデータの詳細については、「AWS IAM Identity Center Verified Access 信頼データのコンテキスト」を参照してください。
例 2: サードパーティープロバイダーのグループにアクセス権を付与する
次のポリシー例では、ユーザーが指定のグループに所属し、検証済みの E メールアドレスを持っていて、Jamf デバイスリスクスコアが LOW の場合にのみアクセスを許可します。グループの名前は「finance」です。
permit(principal,action,resource)
when {
context.policy-reference-name.groups.contains("finance")
&& context.policy-reference-name.email_verified == true
&& context.jamf.risk == "LOW"
};トラストデータの詳細については、「Verified Access トラストデータのサードパーティー信頼プロバイダーのコンテキスト」を参照してください。
例 3: CrowdStrike を使用してアクセス権を付与する
次のポリシー例では、全体評価のスコアが 50 を超えるとアクセスが許可されます。
permit(principal,action,resource)
when {
context.crwd.assessment.overall > 50
};例 4:特定の IP アドレスを許可または拒否する
次のポリシーの例では、指定された IP アドレスからのリクエストのみを許可します。
permit(principal, action, resource)
when {
context.http_request.client_ip == "192.0.2.1"
};次のポリシーの例では、指定された IP アドレスからのリクエストを拒否します。
forbid(principal,action,resource)
when {
ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32"))
};