Amazon Verified Permissions - Amazon Verified Permissions
角括弧表記を使用してトークン属性を参照しますドット表記を使用して属性を参照するAmazon Cognito ID トークン属性を反映OIDC ID トークン属性を反映Amazon Cognito アクセストークン属性を反映OIDC アクセストークン属性を反映します

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Verified Permissions

ここに含まれるポリシーの例には、基本的な Cedar ポリシーの例と、Verified Permissions 固有の例があります。基本的なものは、Cedar ポリシー言語リファレンスガイドにリンクされており、そこに含まれています。Cedar ポリシー構文の詳細については、「Cedar ポリシー言語リファレンスガイド」の「Cedar における基本的なポリシー構築」を参照してください。

ポリシーの例

角括弧表記を使用してトークン属性を参照します

次の例は、角括弧表記を使用してトークン属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal has email && principal.email == "alice@example.com" &&
    context["ip-address"] like "192.0.2.*"
};

ドット表記を使用して属性を参照する

次の例は、ドット表記を使用して属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit(principal, action, resource)
when {
    principal.cognito.username == "alice" &&
    principal.custom.employmentStoreCode == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

Amazon Cognito ID トークン属性を反映

次の例は、Amazon Cognito から ID トークン属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit (
    principal in MyCorp::UserGroup::"us-west-2_EXAMPLE|MyUserGroup",
    action,
    resource
) when {
    principal["cognito:username"] == "alice" &&
    principal["custom:employmentStoreCode"] == "petstore-dallas" &&
    principal.tenant == "x11app-tenant-1" &&
    principal has email && principal.email == "alice@example.com"
};

OIDC ID トークン属性を反映

次の例は、OIDCプロバイダーから ID トークン属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit (
    principal in MyCorp::UserGroup::"MyOIDCProvider|MyUserGroup",
    action,
    resource
) when {
    principal.email_verified == true && principal.email == "alice@example.com" &&
    principal.phone_number_verified == true && principal.phone_number like "+1206*"
};

Amazon Cognito アクセストークン属性を反映

次の例は、Amazon Cognito からアクセストークン属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit(principal, action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"], resource)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI/mydata.write")
};

OIDC アクセストークン属性を反映します

次の例は、OIDCプロバイダーからアクセストークン属性を参照するポリシーを作成する方法を示しています。

Verified Permissions のポリシーでトークン属性を使用する方法の詳細については、「」を参照してください。 ID プロバイダートークンをスキーマにマッピングする

permit(
    principal, 
    action in [MyApplication::Action::"Read", MyApplication::Action::"GetStoreInventory"],
    resource
)
when { 
    context.token.client_id == "52n97d5afhfiu1c4di1k5m8f60" &&
    context.token.scope.contains("MyAPI-read")
};