Políticas do Amazon Verified Permissions - Amazon Verified Permissions

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do Amazon Verified Permissions

Uma política é uma declaração que permite ou proíbe uma entidade principal de realizar uma ou mais ações em um recurso. Cada política é avaliada independentemente de todas as outras políticas. Para obter mais informações sobre como as políticas do Cedar são estruturadas e avaliadas, consulte Validação da política do Cedar com base no esquema no Guia de referência da linguagem de política Cedar.

Importante

Ao escrever políticas do Cedar que fazem referência a entidades principais, recursos e ações, você pode definir os identificadores exclusivos usados para cada um desses elementos. Convém seguir estas práticas recomendadas:

  • Use identificadores universalmente exclusivos (UUIDs) para todos os identificadores principais e de recursos.

    Por exemplo, se o usuário jane for desligado da empresa e você permitir que outra pessoa use o nome jane, esse novo usuário terá acesso automaticamente a tudo o que é concedido pelas políticas que ainda fazem referência a User::"jane". O Cedar não consegue fazer a distinção entre o novo usuário e o antigo. Essa orientação se aplica tanto aos identificadores de entidades principais quanto aos identificadores de recursos. Sempre use identificadores que sejam comprovadamente exclusivos e nunca sejam reutilizados para garantir que você não conceda acesso involuntariamente devido à presença de um identificador antigo em uma política.

    Quando você usa um UUID para uma entidade, recomendamos que você o siga com o especificador de comentário // e o nome “amigável” da sua entidade. Isso torna as políticas mais fáceis de entender. Por exemplo: principal == Role: :"a1b2c3d4-e5f6-a1b2-c3d4- “,//administradores EXAMPLE11111

  • Não inclua informações pessoais, confidenciais ou sigilosas como parte do identificador exclusivo de suas entidades principais ou recursos. Esses identificadores são incluídos nas entradas de registro compartilhadas nas AWS CloudTrail trilhas.

Tópicos