Verified Access 策略示例 - AWS 已验证的访问权限
向 IAM Identity Center 中的组授予访问权限向第三方提供商中的组授予权限使用授予访问权限 CrowdStrike允许或拒绝特定 IP 地址

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Verified Access 策略示例

您可以使用 Verified Access 策略,将应用程序的访问权限授予特定用户和设备。

示例 1:向 IAM Identity Center 中的组授予访问权限

使用时 AWS IAM Identity Center,最好使用群组来引用群组 IDs。这有助于避免因更改组名称而违反策略声明。

以下示例策略仅允许指定组中拥有经过验证的电子邮件地址的用户进行访问。群组 ID 是 c242c5b0-6081-1845-6fa8-6e0d9513c107.

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
};

以下示例策略仅在用户属于特定组、拥有经过验证的电子邮件地址且 Jamf 设备风险评分为 LOW 时才允许访问。

permit(principal,action,resource)
when {
    context.policy-reference-name.groups has "c242c5b0-6081-1845-6fa8-6e0d9513c107"
    && context.policy-reference-name.user.email.verified == true
    && context.jamf.risk == "LOW"
};

有关信任数据的更多信息,请参阅AWS IAM Identity Center 已验证访问信任数据的上下文

示例 2:向第三方提供商中的组授予访问权限

以下示例策略仅在用户属于特定组、拥有经过验证的电子邮件地址且 Jamf 设备风险评分为 LOW 时才允许访问。组的名称为“finance”。

permit(principal,action,resource)
when {
     context.policy-reference-name.groups.contains("finance") 
     && context.policy-reference-name.email_verified == true
     && context.jamf.risk == "LOW"
};

有关信任数据的更多信息,请参阅Verified Access 信任数据的第三方信任提供商上下文

示例 3:使用授予访问权限 CrowdStrike

以下示例策略在总体评估分数大于 50 时允许访问。

permit(principal,action,resource)
when {
    context.crwd.assessment.overall > 50 
};

示例 4:允许或拒绝特定 IP 地址

以下示例策略仅允许来自指定 IP 地址的请求。

permit(principal, action, resource) 
when {
    context.http_request.client_ip == "192.0.2.1"
};

以下示例策略拒绝来自指定 IP 地址的请求。

forbid(principal,action,resource) 
when { 
    ip(context.http_request.client_ip).isInRange(ip("192.0.2.1/32")) 
};