本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Verified Permissions 政策
政策是允許或禁止委託人對資源採取一或多個動作的陳述式。每個政策都會獨立於其他政策進行評估。如需 Cedar 政策如何建構和評估的詳細資訊,請參閱 Cedar 政策語言參考指南中的針對結構描述的 Cedar 政策驗證
重要
當您撰寫參考委託人、資源和動作的 Cedar 政策時,您可以定義用於每個元素的唯一識別符。我們強烈建議您遵循以下最佳實務:
-
對所有主體和資源識別符使用通用的唯一識別符 (UUIDs)。
例如,如果使用者
jane離開公司,而您稍後讓其他人使用名稱jane,則該新使用者會自動存取仍參考 的政策授予的所有內容User::"jane"。Cedar 無法區分新使用者和舊使用者。這同時適用於主體和資源識別符。一律使用保證唯一且永遠不會重複使用的識別符,以確保您不會因為政策中存在舊識別符而意外授予存取權。當您將 UUID用於實體時,我們建議您使用 // 評論指標和實體的「易記」名稱來遵循它。這有助於讓您的政策更容易理解。例如:委託人 == Role::"a1b2c3d4-e5f6-a1b2-c3d4-EXAMPLE11111", // 管理員
-
請勿將個人識別、機密或敏感資訊納入委託人或資源的唯一識別符中。這些識別符包含在 AWS CloudTrail 追蹤中共用的日誌項目中。
主題
