

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Verified Permissions ポリシー
<a name="policies"></a>

*ポリシー*は、*プリンシパル*が*リソース*に対して 1 つ以上の*アクション*を実行することを許可または禁止するステートメントです。各ポリシーは、他のすべてのポリシーとは独立して評価されます。Cedar ポリシーの構造と評価方法の詳細については、「Cedar ポリシー言語リファレンスガイド」の「[スキーマに対する Cedar ポリシーの検証](https://docs.cedarpolicy.com/policies/validation.html)」を参照してください。

オプションで、ポリシーにポリシー名を割り当てることができます。ポリシー名は、ポリシーストア内のすべてのポリシーで一意で、プレフィックスが である必要があります`name/`。`policyId` パラメータを受け入れるコントロールプレーンオペレーションでは、ポリシー ID の代わりにポリシー名を使用できます。次の例では、ポリシー名を使用して でポリシーを取得します`GetPolicy`。

```
$ aws verifiedpermissions get-policy \
    --policy-id name/example-policy \
    --policy-store-id PSEXAMPLEabcdefg111111
```

**重要**  
プリンシパル、リソース、アクションを参照する Cedar ポリシーを作成する場合、それらの各要素に使用される一意の識別子を定義できます。次のベスト プラクティスに従うことを強くお勧めします。  
**すべてのプリンシパル識別子とリソース識別子に汎用一意識別子 (UUIDs) を使用します。**  
たとえば、ユーザー `jane` が会社を退職し、後で別のユーザーに `jane` という名前を使用させた場合、その新しいユーザーは、まだ `User::"jane"` を参照しているポリシーによって付与されているすべてのものに自動的にアクセスできるようになります。Cedar は、新しいユーザーと古いユーザーを区別できません。これは、プリンシパル ID とリソース ID の両方に適用されます。ポリシーに古い ID が含まれているために意図せずアクセスを許可してしまうことがないよう、常に一意性が保証され、再利用されない識別子を使用してください。  
エンティティに UUID を使用する場合は、その後に//コメント指定子とエンティティの「わかりやすい」名前を付けることをお勧めします。これにより、ポリシーがわかりやすくなります。例: principal == Role::"a1b2c3d4-e5f6-a1b2-c3d4-EXAMPLE11111"、// administrators
**プリンシパル、リソースの固有識別子の一部に、個人を特定する情報、機密性の高い情報を含めないでください。**これらの識別子は、 AWS CloudTrail 証跡で共有されているログエントリに含まれます。

**Topics**
+ [Amazon Verified Permissions 静的ポリシーの作成](policies-create.md)
+ [Amazon Verified Permissions の静的ポリシーの編集](policies-edit.md)
+ [コンテキストの追加](context.md)
+ [Amazon Verified Permissions テストベンチの使用](test-bench.md)
+ [Amazon Verified Permissions](policies-examples.md)