使用验证权限示例 AWS CLI

以下代码示例向您展示了如何使用 AWS Command Line Interface 具有已验证权限的，来执行操作和实现常见场景。

操作是大型程序的代码摘录，必须在上下文中运行。您可以通过操作了解如何调用单个服务函数，还可以通过函数相关场景的上下文查看操作。

每个示例都包含一个指向完整源代码的链接，您可以在其中找到有关如何在上下文中设置和运行代码的说明。

主题

操作

操作

以下代码示例演示如何使用 create-identity-source。

AWS CLI

创建身份源

以下create-identity-source示例创建了一个身份源，允许您引用存储在指定 Amazon Cognito 用户池中的身份。这些身份作为实体类型在 “已验证权限” 中可用User。


aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id PSEXAMPLEabcdefg111111

config.txt 的内容：


{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"]
    }
}

输出：


{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

有关身份源的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考CreateIdentitySource中的。

以下代码示例演示如何使用 create-policy-store。

AWS CLI

创建策略存储

以下create-policy-store示例在当前 AWS 区域中创建策略存储。


aws verifiedpermissions create-policy-store \
    --validation-settings "mode=STRICT"

输出：


{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

有关策略存储的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略存储。

有关API详细信息，请参阅AWS CLI 命令参考CreatePolicyStore中的。

以下代码示例演示如何使用 create-policy-template。

AWS CLI

示例 1：创建策略模板

以下create-policy-template示例使用包含委托人占位符的语句创建策略模板。


aws verifiedpermissions create-policy-template \
    --definition file://template1.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

template1.txt 文件的内容：


permit(
    principal in ?principal,
    action == Action::"view",
    resource == Photo::"VacationPhoto94.jpg"
);

输出：


{
    "createdDate": "2023-06-12T20:47:42.804511+00:00",
    "lastUpdatedDate": "2023-06-12T20:47:42.804511+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyTemplateId": "PTEXAMPLEabcdefg111111"
}

有关策略模板的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略模板。

有关API详细信息，请参阅AWS CLI 命令参考CreatePolicyTemplate中的。

以下代码示例演示如何使用 create-policy。

AWS CLI

示例 1：创建静态策略

以下create-policy示例创建了一个静态策略，其策略范围既指定了委托人，又指定了资源。


aws verifiedpermissions create-policy \
    --definition file://definition1.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

definition1.txt 文件的内容：


{
    "static": {
        "description":  "Grant everyone of janeFriends UserGroup access to the vacationFolder Album",
        "statement": "permit(principal in UserGroup::\"janeFriends\", action, resource in Album::\"vacationFolder\" );"
    }
}

输出：


{
    "createdDate": "2023-06-12T20:33:37.382907+00:00",
    "lastUpdatedDate": "2023-06-12T20:33:37.382907+00:00",
    "policyId": "SPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "STATIC",
    "principal": {
        "entityId": "janeFriends",
        "entityType": "UserGroup"
    },
    "resource": {
        "entityId": "vacationFolder",
        "entityType": "Album"
    }
}

示例 2：创建向所有人授予资源访问权限的静态策略

以下create-policy示例创建了一个静态策略，其策略范围仅指定了资源。


aws verifiedpermissions create-policy \
    --definition file://definition2.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

definition2.txt 文件的内容：


{
    "static": {
        "description":  "Grant everyone access to the publicFolder Album",
        "statement": "permit(principal, action, resource in Album::\"publicFolder\");"
    }
}

输出：


{
    "createdDate": "2023-06-12T20:39:44.975897+00:00",
    "lastUpdatedDate": "2023-06-12T20:39:44.975897+00:00",
    "policyId": "PbfR73F8oh5MMfr9uRtFDB",
    "policyStoreId": "PSEXAMPLEabcdefg222222",
    "policyType": "STATIC",
    "resource": {
        "entityId": "publicFolder",
        "entityType": "Album"
    }
}

示例 3：创建与指定模板关联的模板关联策略

以下create-policy示例使用指定的策略模板创建模板关联策略，并将要使用的指定委托人与新的模板关联策略关联。


aws verifiedpermissions create-policy \
    --definition file://definition.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

definition.txt 的内容：


{
    "templateLinked": {
        "policyTemplateId": "PTEXAMPLEabcdefg111111",
        "principal": {
            "entityType": "User",
            "entityId": "alice"
        }
    }
}

输出：


{
    "createdDate": "2023-06-12T20:49:51.490211+00:00",
    "lastUpdatedDate": "2023-06-12T20:49:51.490211+00:00",
    "policyId": "TPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "TEMPLATE_LINKED",
    "principal": {
        "entityId": "alice",
        "entityType": "User"
    },
    "resource": {
        "entityId": "VacationPhoto94.jpg",
        "entityType": "Photo"
    }
}

有关政策的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限政策。

有关API详细信息，请参阅AWS CLI 命令参考CreatePolicy中的。

以下代码示例演示如何使用 delete-identity-source。

AWS CLI

删除身份源

以下delete-identity-source示例删除具有指定 ID 的身份源。


aws verifiedpermissions delete-identity-source \
    --identity-source-id ISEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

此命令不生成任何输出。

有关身份源的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考DeleteIdentitySource中的。

以下代码示例演示如何使用 delete-policy-store。

AWS CLI

删除策略存储

以下delete-policy-store示例删除具有指定 ID 的策略存储。


aws verifiedpermissions delete-policy-store \
    --policy-store-id PSEXAMPLEabcdefg111111

此命令不生成任何输出。

有关策略存储的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略存储。

有关API详细信息，请参阅AWS CLI 命令参考DeletePolicyStore中的。

以下代码示例演示如何使用 delete-policy-template。

AWS CLI

删除策略模板

以下delete-policy-template示例删除具有指定 ID 的策略模板。


aws verifiedpermissions delete-policy \
    --policy-template-id PTEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

此命令不生成任何输出。

有关策略模板的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略模板。

有关API详细信息，请参阅AWS CLI 命令参考DeletePolicyTemplate中的。

以下代码示例演示如何使用 delete-policy。

AWS CLI

删除静态或与模板关联的策略

以下delete-policy示例删除具有指定 ID 的策略。


aws verifiedpermissions delete-policy \
    --policy-id SPEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

此命令不生成任何输出。

有关政策的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限政策。

有关API详细信息，请参阅AWS CLI 命令参考DeletePolicy中的。

以下代码示例演示如何使用 get-identity-source。

AWS CLI

检索有关身份源的详细信息

以下get-identity-source示例显示具有指定 ID 的身份源的详细信息。


aws verifiedpermissions get-identity-source \
    --identity-source  ISEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "createdDate": "2023-06-12T22:27:49.150035+00:00",
    "details": {
        "clientIds": [ "a1b2c3d4e5f6g7h8i9j0kalbmc" ],
        "discoveryUrl": "https://cognito-idp.us-west-2.amazonaws.com/us-west-2_1a2b3c4d5",
        "openIdIssuer": "COGNITO",
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5"
    },
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-06-12T22:27:49.150035+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "principalEntityType": "User"
}

有关身份源的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考GetIdentitySource中的。

以下代码示例演示如何使用 get-policy-store。

AWS CLI

检索有关策略存储的详细信息

以下get-policy-store示例显示了具有指定 ID 的策略存储的详细信息。


aws verifiedpermissions get-policy-store \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-06-05T20:16:46.225598+00:00",
    "lastUpdatedDate": "2023-06-08T20:40:23.173691+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "validationSettings": { "mode": "OFF" }
}

有关策略存储的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略存储。

有关API详细信息，请参阅AWS CLI 命令参考GetPolicyStore中的。

以下代码示例演示如何使用 get-policy-template。

AWS CLI

检索有关策略模板的详细信息

以下get-policy-template示例显示了具有指定 ID 的策略模板的详细信息。


aws verifiedpermissions get-policy-template \
    --policy-template-id  PTEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "createdDate": "2023-06-12T20:47:42.804511+00:00",
    "lastUpdatedDate": "2023-06-12T20:47:42.804511+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyTemplateId": "PTEXAMPLEabcdefg111111",
    "statement": "permit(\n    principal in ?principal,\n    action == Action::\"view\",\n    resource == Photo::\"VacationPhoto94.jpg\"\n);"
}

有关策略模板的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略模板。

有关API详细信息，请参阅AWS CLI 命令参考GetPolicyTemplate中的。

以下代码示例演示如何使用 get-policy。

AWS CLI

检索有关政策的详细信息

以下get-policy示例显示了具有指定 ID 的策略的详细信息。


aws verifiedpermissions get-policy \
    --policy-id PSEXAMPLEabcdefg111111 \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "createdDate": "2023-06-12T20:33:37.382907+00:00",
    "definition": {
        "static": {
            "description": "Grant everyone of janeFriends UserGroup access to the vacationFolder Album",
            "statement": "permit(principal in UserGroup::\"janeFriends\", action, resource in Album::\"vacationFolder\" );"
        }
    },
    "lastUpdatedDate": "2023-06-12T20:33:37.382907+00:00",
    "policyId": "SPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "STATIC",
    "principal": {
        "entityId": "janeFriends",
        "entityType": "UserGroup"
    },
    "resource": {
        "entityId": "vacationFolder",
        "entityType": "Album"
    }
}

有关政策的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限政策。

有关API详细信息，请参阅AWS CLI 命令参考GetPolicy中的。

以下代码示例演示如何使用 get-schema。

AWS CLI

在策略存储中检索架构

以下get-schema示例显示了指定策略存储中架构的详细信息。


aws verifiedpermissions get-schema \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "schema": "{\"MySampleNamespace\":{\"entityTypes\":{\"Employee\":{\"shape\":{\"attributes\":{\"jobLevel\":{\"type\":\"Long\"},\"name\":{\"type\":\"String\"}},\"type\":\"Record\"}}},\"actions\":{\"remoteAccess\":{\"appliesTo\":{\"principalTypes\":[\"Employee\"]}}}}}",
    "createdDate": "2023-06-14T17:47:13.999885+00:00",
    "lastUpdatedDate": "2023-06-14T17:47:13.999885+00:00"
}

有关架构的更多信息，请参阅《Amazon 验证权限用户指南》中的策略存储架构。

有关API详细信息，请参阅AWS CLI 命令参考GetSchema中的。

以下代码示例演示如何使用 is-authorized-with-token。

AWS CLI

示例 1：请求对用户请求做出授权决定（允许）

以下is-authorized-with-token示例请求已通过 Amazon Cognito 身份验证的用户做出授权决定。该请求使用 Cognito 提供的身份令牌而不是访问令牌。在此示例中，将指定的信息存储配置为将主体作为类型CognitoUser实体返回。


aws verifiedpermissions is-authorized-with-token \
    --action actionId="View",actionType="Action" \
    --resource entityId="vacationPhoto94.jpg",entityType="Photo" \
    --policy-store-id PSEXAMPLEabcdefg111111 \
    --identity-token "AbCdE12345...long.string...54321EdCbA"

策略存储区包含一个带有以下语句的策略，该策略接受来自指定 Cognito 用户池和应用程序 ID 的身份。


permit(
    principal == CognitoUser::"us-east-1_1a2b3c4d5|a1b2c3d4e5f6g7h8i9j0kalbmc",
    action,
    resource == Photo::"VacationPhoto94.jpg"
);

输出：


{
    "decision":"Allow",
    "determiningPolicies":[
        {
        "determiningPolicyId":"SPEXAMPLEabcdefg111111"
        }
    ],
    "errors":[]
}

有关使用 Cognito 用户池中的身份的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考IsAuthorizedWithToken中的。

以下代码示例演示如何使用 is-authorized。

AWS CLI

示例 1：请求对用户请求做出授权决定（允许）

以下is-authorized示例请求类型为的委托人做出授权决定Alice，该委托人想要对User名为的类型Photo为的资源执行updatePhoto操作VacationPhoto94.jpg。

响应显示一个策略允许该请求。


aws verifiedpermissions is-authorized \
    --principal entityType=User,entityId=alice \
    --action actionType=Action,actionId=view \
    --resource entityType=Photo,entityId=VactionPhoto94.jpg \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "decision": "ALLOW",
    "determiningPolicies": [
        {
            "policyId": "SPEXAMPLEabcdefg111111"
        }
    ],
    "errors": []
}

示例 2：请求对用户请求做出授权决定（拒绝）

以下示例与前面的示例相同，唯一的不同是委托人是User::"Bob"。策略存储区不包含任何允许该用户访问的策略Album::"alice_folder"。

输出表明Deny是隐式的，因为列表DeterminingPolicies为空。


aws verifiedpermissions create-policy \
    --definition file://definition2.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "decision": "DENY",
    "determiningPolicies": [],
    "errors": []
}

有关更多信息，请参阅《Amazon 验证权限用户指南》。

有关API详细信息，请参阅AWS CLI 命令参考IsAuthorized中的。

以下代码示例演示如何使用 list-identity-sources。

AWS CLI

列出可用的身份来源

以下list-identity-sources示例列出了指定策略存储中的所有身份源。


aws verifiedpermissions list-identity-sources \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "identitySources": [
        {
            "createdDate": "2023-06-12T22:27:49.150035+00:00",
            "details": {
                "clientIds": [ "a1b2c3d4e5f6g7h8i9j0kalbmc" ],
                "discoveryUrl": "https://cognito-idp.us-west-2.amazonaws.com/us-west-2_1a2b3c4d5",
                "openIdIssuer": "COGNITO",
                "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5"
            },
            "identitySourceId": "ISEXAMPLEabcdefg111111",
            "lastUpdatedDate": "2023-06-12T22:27:49.150035+00:00",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "principalEntityType": "User"
        }
    ]
}

有关身份源的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考ListIdentitySources中的。

以下代码示例演示如何使用 list-policies。

AWS CLI

列出可用策略

以下list-policies示例列出了指定策略存储区中的所有策略。


aws verifiedpermissions list-policies \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "policies": [
        {
            "createdDate": "2023-06-12T20:33:37.382907+00:00",
            "definition": {
                "static": {
                    "description": "Grant everyone of janeFriends UserGroup access to the vacationFolder Album"
                }
            },
            "lastUpdatedDate": "2023-06-12T20:33:37.382907+00:00",
            "policyId": "SPEXAMPLEabcdefg111111",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "policyType": "STATIC",
            "principal": {
                "entityId": "janeFriends",
                "entityType": "UserGroup"
            },
            "resource": {
                "entityId": "vacationFolder",
                "entityType": "Album"
            }
        },
        {
            "createdDate": "2023-06-12T20:39:44.975897+00:00",
            "definition": {
                "static": {
                    "description": "Grant everyone access to the publicFolder Album"
                }
            },
            "lastUpdatedDate": "2023-06-12T20:39:44.975897+00:00",
            "policyId": "SPEXAMPLEabcdefg222222",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "policyType": "STATIC",
            "resource": {
                "entityId": "publicFolder",
                "entityType": "Album"
            }
        },
        {
            "createdDate": "2023-06-12T20:49:51.490211+00:00",
            "definition": {
                "templateLinked": {
                    "policyTemplateId": "PTEXAMPLEabcdefg111111"
                }
            },
            "lastUpdatedDate": "2023-06-12T20:49:51.490211+00:00",
            "policyId": "SPEXAMPLEabcdefg333333",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "policyType": "TEMPLATE_LINKED",
            "principal": {
                "entityId": "alice",
                "entityType": "User"
            },
            "resource": {
                "entityId": "VacationPhoto94.jpg",
                "entityType": "Photo"
            }
        }
    ]
}

有关政策的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限政策。

有关API详细信息，请参阅AWS CLI 命令参考ListPolicies中的。

以下代码示例演示如何使用 list-policy-stores。

AWS CLI

列出可用的策略存储库

以下list-policy-stores示例列出了该 AWS 地区的所有策略存储。除了create-policy-store和list-policy-stores要求您指定要使用的策略存储的 ID 之外，所有用于验证权限的命令除外。


aws verifiedpermissions list-policy-stores

输出：


{
    "policyStores": [
        {
            "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
            "createdDate": "2023-06-05T20:16:46.225598+00:00",
            "policyStoreId": "PSEXAMPLEabcdefg111111"
        },
        {
            "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg222222",
            "createdDate": "2023-06-08T18:09:37.364356+00:00",
            "policyStoreId": "PSEXAMPLEabcdefg222222"
        },
        {
            "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg333333",
            "createdDate": "2023-06-08T18:09:46.920600+00:00",
            "policyStoreId": "PSEXAMPLEabcdefg333333"
        }
    ]
}

有关策略存储的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略存储。

有关API详细信息，请参阅AWS CLI 命令参考ListPolicyStores中的。

以下代码示例演示如何使用 list-policy-templates。

AWS CLI

列出可用的策略模板

以下list-policy-templates示例列出了指定策略存储区中的所有策略模板。


aws verifiedpermissions list-policy-templates \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "policyTemplates": [
        {
            "createdDate": "2023-06-12T20:47:42.804511+00:00",
            "lastUpdatedDate": "2023-06-12T20:47:42.804511+00:00",
            "policyStoreId": "PSEXAMPLEabcdefg111111",
            "policyTemplateId": "PTEXAMPLEabcdefg111111"
        }
    ]
}

有关策略模板的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略模板。

有关API详细信息，请参阅AWS CLI 命令参考ListPolicyTemplates中的。

以下代码示例演示如何使用 put-schema。

AWS CLI

将架构保存到策略存储中

以下put-schema示例创建或替换指定策略存储中的架构。

输入文件中的cedarJson参数采用JSON对象的字符串表示形式。它在最外面的引号对中包含嵌入式引号 (“)。这要求您将转换为字符串，方法是在所有嵌入的引号前面加上反斜杠字符 (“)，然后将所有行组合成一个不带换行符的文本行。JSON

为了便于阅读，可以在此处将示例字符串分成多行显示，但该操作要求将参数作为单行字符串提交。

aws 已验证权限 put-schema — 定义文件：//schema.txt — policy-store-id PSEXAMPLEabcdefg111111

schema.txt 的内容：


{
    "cedarJson": "{\"MySampleNamespace\": {\"actions\": {\"remoteAccess\": {
            \"appliesTo\": {\"principalTypes\": [\"Employee\"]}}},\"entityTypes\": {
            \"Employee\": {\"shape\": {\"attributes\": {\"jobLevel\": {\"type\":
            \"Long\"},\"name\": {\"type\": \"String\"}},\"type\": \"Record\"}}}}}"
}

输出：


{
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "namespaces": [
        "MySampleNamespace"
    ],
    "createdDate": "2023-06-14T17:47:13.999885+00:00",
    "lastUpdatedDate": "2023-06-14T17:47:13.999885+00:00"
}

有关架构的更多信息，请参阅《Amazon 验证权限用户指南》中的策略存储架构。

有关API详细信息，请参阅AWS CLI 命令参考PutSchema中的。

以下代码示例演示如何使用 update-identity-source。

AWS CLI

更新身份源

以下update-identity-source示例通过提供新的 Cognito 用户池配置并更改身份源返回的实体类型来修改指定的身份源。


aws verifiedpermissions update-identity-source
    --identity-source-id ISEXAMPLEabcdefg111111 \
    --update-configuration file://config.txt \
    --principal-entity-type "Employee" \
    --policy-store-id PSEXAMPLEabcdefg111111

config.txt 的内容：


{
        "cognitoUserPoolConfiguration": {
                "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
                "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"]
        }
}

输出：


{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

有关身份源的更多信息，请参阅《亚马逊验证权限用户指南》中的对身份提供商使用亚马逊验证权限。

有关API详细信息，请参阅AWS CLI 命令参考UpdateIdentitySource中的。

以下代码示例演示如何使用 update-policy-store。

AWS CLI

更新政策存储

以下update-policy-store示例通过更改策略存储的验证设置来修改策略存储。


aws verifiedpermissions update-policy-store \
    --validation-settings "mode=STRICT" \
    --policy-store-id PSEXAMPLEabcdefg111111

输出：


{
    "arn": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111",
    "createdDate": "2023-05-16T17:41:29.103459+00:00",
    "lastUpdatedDate": "2023-05-16T17:41:29.103459+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

有关策略存储的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略存储。

有关API详细信息，请参阅AWS CLI 命令参考UpdatePolicyStore中的。

以下代码示例演示如何使用 update-policy-template。

AWS CLI

示例 1：更新策略模板

以下update-policy-template示例修改了指定的模板链接策略以替换其策略声明。


aws verifiedpermissions update-policy-template \
    --policy-template-id PTEXAMPLEabcdefg111111 \
    --statement file://template1.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

template1.txt 文件的内容：


permit(
    principal in ?principal,
    action == Action::"view",
    resource == Photo::"VacationPhoto94.jpg"
);

输出：


{
    "createdDate": "2023-06-12T20:47:42.804511+00:00",
    "lastUpdatedDate": "2023-06-12T20:47:42.804511+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyTemplateId": "PTEXAMPLEabcdefg111111"
}

有关策略模板的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限策略模板。

有关API详细信息，请参阅AWS CLI 命令参考UpdatePolicyTemplate中的。

以下代码示例演示如何使用 update-policy。

AWS CLI

示例 1：创建静态策略

以下create-policy示例创建了一个静态策略，其策略范围既指定了委托人，又指定了资源。


aws verifiedpermissions create-policy \
    --definition file://definition.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

该statement参数采用JSON对象的字符串表示形式。它在最外面的引号对中包含嵌入式引号 (“)。这要求您将转换为字符串，方法是在所有嵌入的引号前面加上反斜杠字符 (“)，然后将所有行组合成一个不带换行符的文本行。JSON

为了便于阅读，可以在此处将示例字符串分成多行显示，但该操作要求将参数作为单行字符串提交。

definition.txt 文件的内容：


{
    "static": {
        "description":  "Grant everyone of janeFriends UserGroup access to the vacationFolder Album",
        "statement": "permit(principal in UserGroup::\"janeFriends\", action, resource in Album::\"vacationFolder\" );"
    }
}

输出：


{
    "createdDate": "2023-06-12T20:33:37.382907+00:00",
    "lastUpdatedDate": "2023-06-12T20:33:37.382907+00:00",
    "policyId": "SPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "STATIC",
    "principal": {
        "entityId": "janeFriends",
        "entityType": "UserGroup"
    },
    "resource": {
        "entityId": "vacationFolder",
        "entityType": "Album"
    }
}

示例 2：创建向所有人授予资源访问权限的静态策略

以下create-policy示例创建了一个静态策略，其策略范围仅指定了资源。


aws verifiedpermissions create-policy \
    --definition file://definition2.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

definition2.txt 文件的内容：


{
    "static": {
        "description":  "Grant everyone access to the publicFolder Album",
        "statement": "permit(principal, action, resource in Album::\"publicFolder\");"
    }
}

输出：


{
    "createdDate": "2023-06-12T20:39:44.975897+00:00",
    "lastUpdatedDate": "2023-06-12T20:39:44.975897+00:00",
    "policyId": "PbfR73F8oh5MMfr9uRtFDB",
    "policyStoreId": "PSEXAMPLEabcdefg222222",
    "policyType": "STATIC",
    "resource": {
        "entityId": "publicFolder",
        "entityType": "Album"
    }
}

示例 3：创建与指定模板关联的模板关联策略

以下create-policy示例使用指定的策略模板创建模板关联策略，并将要使用的指定委托人与新的模板关联策略关联。


aws verifiedpermissions create-policy \
    --definition file://definition2.txt \
    --policy-store-id PSEXAMPLEabcdefg111111

definition3.txt 的内容：


{
    "templateLinked": {
        "policyTemplateId": "PTEXAMPLEabcdefg111111",
        "principal": {
            "entityType": "User",
            "entityId": "alice"
        }
    }
}

输出：


{
    "createdDate": "2023-06-12T20:49:51.490211+00:00",
    "lastUpdatedDate": "2023-06-12T20:49:51.490211+00:00",
    "policyId": "TPEXAMPLEabcdefg111111",
    "policyStoreId": "PSEXAMPLEabcdefg111111",
    "policyType": "TEMPLATE_LINKED",
    "principal": {
        "entityId": "alice",
        "entityType": "User"
    },
    "resource": {
        "entityId": "VacationPhoto94.jpg",
        "entityType": "Photo"
    }
}

有关政策的更多信息，请参阅《亚马逊验证权限用户指南》中的亚马逊验证权限政策。

有关API详细信息，请参阅AWS CLI 命令参考UpdatePolicy中的。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Trusted Advisor

VPC格子