AWS IAM Identity Center contexto para dados de confiança do Verified Access - AWS Acesso verificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS IAM Identity Center contexto para dados de confiança do Verified Access

Quando uma política é avaliada, se você definir AWS IAM Identity Center como um provedor de confiança, Acesso Verificado pela AWS inclua os dados de confiança no contexto do Cedar sob a chave que você especifica como “Nome de referência da política” na configuração do provedor de confiança. Você pode escrever uma política que avalie os dados de confiança, se quiser.

nota

A chave de contexto do seu provedor de confiança vem do nome de referência da política que você configura ao criar o provedor de confiança. Por exemplo, se você configurar o nome de referência da política como “idp123”, a chave de contexto será “context.idp123”. Verifique se está usando a chave de contexto correta ao criar a política.

O esquema JSON a seguir mostra quais dados estão incluídos na avaliação.

{
   "title": "AWS IAM Identity Center context specification",
   "type": "object",
   "properties": {
     "user": {
       "type": "object",
       "properties": {
         "user_id": {
           "type": "string",
           "description": "a unique user id generated by AWS IdC"
         },
         "user_name": {
           "type": "string",
           "description": "username provided in the directory"
         },
         "email": {
           "type": "object",
           "properties": {
             "address": {
               "type": "email",
               "description": "email address associated with the user"
             },
             "verified": {
               "type": "boolean",
               "description": "whether the email address has been verified by AWS IdC"
             }
           }
         }
       }
     },
     "groups": {
       "type": "object",
       "description": "A list of groups the user is a member of",
       "patternProperties": {
         "^[a-fA-F0-9]{8}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{4}-[a-fA-F0-9]{12}$": {
           "type": "object",
           "description": "The Group ID of the group",
           "properties": {
             "group_name": {
               "type": "string",
               "description": "The customer-provided name of the group"
             }
           }
         }
       }
     }
   }
 }

Veja a seguir um exemplo de política que avalia os dados de confiança fornecidos pelo AWS IAM Identity Center.

permit(principal, action, resource) when {
   context.idc.user.email.verified == true
   // User is in the "sales" group with specific ID
   && context.idc.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
 };
nota

Como os nomes dos grupos podem ser alterados, o IAM Identity Center se refere aos grupos usando seu ID de grupo. Isso ajuda a evitar a violação de uma declaração de política ao alterar o nome de um grupo.