本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Verified Permissions 和 Cedar 政策語言術語和概念

您應該了解下列概念，才能使用 Amazon Verified Permissions。

Cedar 政策語言概念

授權模型

授權模型說明應用程式提出的授權請求範圍，以及評估這些請求的基礎。它根據不同類型的資源、對這些資源採取的動作，以及採取這些動作的委託人類型來定義。它也會考慮採取這些動作的背景。

角色型存取控制 (RBAC) 是評估基礎，其中定義角色並與一組許可相關聯。然後，這些角色可以指派給一或多個身分。指派的身分會取得與角色相關聯的許可。如果修改與角色相關聯的許可，則修改會自動影響角色已指派到的任何身分。Cedar 可以透過使用主體群組來支援RBAC決策。

屬性型存取控制 (ABAC) 是評估基礎，其中與身分相關聯的許可由該身分的屬性決定。Cedar 可以透過使用參考委託人屬性的政策條件來支援ABAC決策。

Cedar 政策語言允許為具有屬性型條件的使用者群組定義許可，以啟用單一政策ABAC中 RBAC和 的組合。

授權請求

授權請求是由應用程式提出的驗證許可請求，用於評估一組政策，以判斷委託人是否可以對特定內容的資源執行動作。

授權回應

授權回應是對授權請求的回應。它包含允許或拒絕決策，以及其他資訊，例如決策政策IDs的 。

已考量的政策

考量到的政策是在評估授權請求時，由 Verified Permissions 所選取的整組政策。

內容資料

內容資料是屬性值，可提供要評估的其他資訊。

決定政策

決定政策是決定授權回應的政策。例如，如果有兩個滿意的政策，其中一個是拒絕，另一個是允許，則拒絕政策將是決定政策。如果有多個滿意的許可政策，而且沒有滿意的禁止政策，則有多個決定政策。如果沒有政策相符且拒絕回應，則沒有決定性政策。

實體資料

實體資料是有關委託人、動作和資源的資料。與政策評估相關的實體資料是群組成員資格，一路增加主體和資源的實體階層和屬性值。

許可、授權和主體

Verified Permissions 會在您建置的自訂應用程式中管理精細的許可和授權。

委託人是人或機器應用程式的使用者，該應用程式具有繫結至身分的身分，例如使用者名稱或機器 ID。身分驗證程序會判斷委託人是否為其聲稱的真實身分。

與該身分相關聯的是一組應用程式許可，用於決定該主體在該應用程式中獲允許執行的動作。授權是評估這些許可的程序，以判斷委託人是否允許在應用程式中執行特定動作。這些許可可以表達為政策。

政策強制執行

政策強制執行是在 Verified Permissions 外部的應用程式內強制執行評估決策的程序。如果驗證許可評估傳回拒絕，則強制執行會確保委託人無法存取資源。

政策存放區

政策存放區是政策和範本的容器。每個存放區都包含一個結構描述，用於驗證新增至存放區的政策。根據預設，每個應用程式都有自己的政策存放區，但多個應用程式可以共用單一政策存放區。當應用程式提出授權請求時，它會識別用來評估該請求的政策存放區。政策存放區提供隔離一組政策的方法，因此可用於多租戶應用程式中，以包含每個租戶的結構描述和政策。單一應用程式可以為每個租用戶有不同的政策存放區。

評估授權請求時，驗證許可只會考慮與請求相關的政策存放區中的政策子集。關聯性是根據政策的範圍來決定。範圍會識別政策適用的特定主體和資源，以及主體可以在資源上執行的動作。定義範圍有助於透過縮小所考慮政策集來改善效能。

滿意的政策

滿意的政策是符合授權請求參數的政策。