翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IAM Identity Center Verified Access 信頼データのコンテキスト
ポリシーが評価されると、 を信頼プロバイダー AWS IAM Identity Center として定義すると、 AWS Verified Access は、信頼プロバイダー設定で「ポリシー参照名」として指定したキーの下の Cedar コンテキストに信頼データを含めます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。
注記
信頼プロバイダーのコンテキストキーは、信頼プロバイダーの作成時に設定したポリシーレファレンス名から取得されます。たとえば、ポリシーレファレンスを「idp123」と設定した場合、コンテキストキーは「context.idp123」となります。ポリシーを作成する際は、正しいコンテキストキーを使用していることを確認してください。
次の JSON スキーマ
{
"title": "AWS IAM Identity Center context specification",
"type": "object",
"properties": {
"user": {
"type": "object",
"properties": {
"user_id": {
"type": "string",
"description": "a unique user id generated by AWS IdC"
},
"user_name": {
"type": "string",
"description": "username provided in the directory"
},
"email": {
"type": "object",
"properties": {
"address": {
"type": "email",
"description": "email address associated with the user"
},
"verified": {
"type": "boolean",
"description": "whether the email address has been verified by AWS IdC"
}
}
}
}
},
"groups": {
"type": "object",
"description": "A list of groups the user is a member of",
"patternProperties": {
"^[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}$": {
"type": "object",
"description": "The Group ID of the group",
"properties": {
"group_name": {
"type": "string",
"description": "The customer-provided name of the group"
}
}
}
}
}
}
}以下は、 AWS IAM Identity Centerが提供するトラストデータに対して評価を行うポリシーの例です。
permit(principal, action, resource) when {
context.idc.user.email.verified == true
// User is in the "sales" group with specific ID
&& context.idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
};注記
グループ名は変更できるため、IAM アイデンティティセンターはグループ ID を使用してグループを参照します。これにより、グループの名前を変更する際にポリシーステートメントが破られるのを防ぐことができます。
