Amazon Verified Permissions 策略存储 - Amazon Verified Permissions

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Verified Permissions 策略存储

策略存储是策略和策略模板的容器。在每个策略存储中,您可以创建一个架构,用于验证添加到策略存储中的策略。此外,您还可以开启策略验证。如果在启用策略验证的情况下向策略存储中添加策略,则策略中定义的实体类型、常见类型和操作将根据架构进行验证,无效策略将被拒绝。

我们建议为每个应用程序创建一个策略存储,或者针对多租户应用程序为每个租户创建一个策略存储。在发出授权请求时,必须指定一个策略存储。

我们建议将命名空间用于策略存储中的 Cedar 实体,以防止产生歧义。命名空间是类型的字符串前缀,由一对冒号(::)作为分隔符进行分隔。例如 MyApplicationNamespace::exampleType。Verified Permissions 支持每个策略存储库使用一个命名空间。当你使用多个相似的应用程序时,这些命名空间有助于保持一切顺畅。例如,在多租户应用程序中,使用命名空间将租户名称附加到架构中定义的类型后,将使它们与其他租户使用的类似类型区分开来。在查看授权请求的日志时,您可以轻松识别处理授权请求的租户。有关更多信息,请参阅《Cedar 策略语言参考指南》中的命名空间