Seguridad

Autorización granular con Amazon Verified Permissions - Control de acceso con políticas Cedar

Presentamos la técnica de externalizar la lógica de autorización del código de la aplicación con el lenguaje de políticas Cedar, y lograr decisiones de autorización basadas en tokens con la integración de Cognito.

約 8 分で読めます

Descripcion general de Verified Permissions

Verified Permissions es un servicio que proporciona autorizacion granular de aplicaciones de forma gestionada, procesando miles de solicitudes de autorizacion por segundo. Tradicionalmente, la logica de autorizacion se implementaba con sentencias if dentro del codigo de la aplicacion, requiriendo despliegues de codigo para cambios de politicas. Verified Permissions externaliza las reglas de autorizacion con el lenguaje de politicas Cedar, permitiendo cambios de politicas sin despliegues de codigo. Cedar es un lenguaje de politicas de autorizacion de codigo abierto desarrollado por Amazon, disenado para soportar verificacion formal. La evaluacion de politicas es determinista - la misma entrada siempre produce la misma decision de autorizacion, facilitando la depuracion y auditoria.

Politicas Cedar e integracion con Cognito

Las politicas Cedar se componen de sentencias permit (permitir) y forbid (denegar). Se escriben reglas de forma declarativa como "el usuario A tiene permiso para la accion read en el documento X" o "el rol de administrador tiene permiso para todas las acciones en todos los recursos". Las politicas forbid tienen prioridad sobre permit, asegurando que la denegacion de acceso bajo condiciones especificas se implemente de forma confiable. Las clausulas condicionales (when/unless) permiten condiciones dinamicas como "permitir acceso solo durante el horario laboral" o "permitir solo cuando la IP esta dentro del rango de la red corporativa". Con la integracion de Cognito, se utilizan los claims del token de ID (grupos, atributos personalizados) como atributos del principal en las politicas Cedar, implementando decisiones de autorizacion basadas en tokens. Un patron comun es colocar una funcion Lambda como autorizador de API Gateway que llama a la API IsAuthorized de Verified Permissions.

Policy Store y autorizacion por lotes

El Policy Store es una coleccion de politicas Cedar que se crea por aplicacion. Se definen tipos de entidad (User, Document, Folder) y acciones (Read, Write, Delete) en el esquema, automatizando la validacion sintactica de las politicas. Definir un esquema previene la creacion de politicas que referencien tipos de entidad o acciones inexistentes. La API IsAuthorized autoriza una unica solicitud, y la API BatchIsAuthorized autoriza hasta 30 solicitudes a la vez. La API por lotes es efectiva para pantallas de listas donde se necesita determinar derechos de acceso a multiples recursos de una vez, reduciendo la latencia comparado con llamadas individuales repetidas. Las plantillas de politicas definen patrones comunes con marcadores de posicion, y las politicas vinculadas a plantillas enlazan dinamicamente usuarios y recursos. CloudTrail registra logs de solicitudes de autorizacion para analisis de patrones de acceso y auditoria. Para aprender de forma sistematica sobre autorizacion, libros (Amazon) son una referencia util.

Mejores practicas de diseno y errores comunes

Para el diseno de politicas, se recomienda un modelo hibrido que combine RBAC (basado en roles) y ABAC (basado en atributos). Los permisos basicos se gestionan mediante roles, y las condiciones granulares como "solo el propietario del documento puede eliminar" se expresan mediante atributos. Un error comun es la dificultad de depuracion a medida que crece el numero de politicas. Cuando miles de politicas se acumulan en un solo Policy Store, rastrear que politica evaluo una decision de autorizacion especifica se vuelve dificil. La solucion es usar plantillas de politicas para abstraer patrones comunes y mantener controlable el numero de politicas concretas. Ademas, integrar herramientas de verificacion formal de Cedar en pipelines CI para detectar conflictos de politicas (donde tanto permit como forbid se aplican a la misma solicitud) antes del despliegue es crucial. Al implementar cache de resultados de autorizacion, el TTL del cache implica un compromiso con los requisitos de reflejo inmediato de cambios de politicas. Las aplicaciones que requieren respuesta en tiempo real deben usar TTLs cortos (segundos), mientras que aplicaciones con alta frecuencia de lectura y cambios de politicas raros pueden usar TTLs mas largos (minutos).

Comparacion con otros enfoques de autorizacion

Existen multiples enfoques para la autorizacion de aplicaciones, seleccionados segun los requisitos. Las politicas IAM se especializan en control de acceso a recursos AWS y no son adecuadas para autorizacion basada en logica de negocio dentro de aplicaciones (ej: "solo el creador del documento puede editar"). Verified Permissions maneja esta autorizacion a nivel de aplicacion. Open Policy Agent (OPA) permite descripciones de politicas de proposito general en el lenguaje Rego, pero requiere alojamiento y gestion de disponibilidad del motor de politicas por cuenta propia. Verified Permissions, como servicio gestionado con disponibilidad y escalabilidad garantizadas por AWS, ofrece menor carga operativa. La autorizacion basada en grupos de Cognito es adecuada para RBAC simple pero no soporta control granular a nivel de recurso ni gestion declarativa de politicas. Para SaaS multi-tenant, un diseno que aisla los Policy Stores por tenant para prevenir fisicamente la interferencia de politicas entre tenants es efectivo.

Precios de Verified Permissions

Los precios de Verified Permissions se basan en el numero de solicitudes de autorizacion. Cuesta aproximadamente 15 USD por millon de solicitudes, sin cargos adicionales por la gestion del Policy Store o la definicion de esquemas. Con la integracion de Cognito, se separa la autenticacion de usuarios (Cognito) y la autorizacion (Verified Permissions), externalizando la logica de autorizacion del codigo de la aplicacion. Para aplicaciones con alto volumen de solicitudes, cachear resultados de autorizacion para reducir el numero de solicitudes es una estrategia efectiva de optimizacion de costos. Tenga en cuenta que la API BatchIsAuthorized procesa hasta 30 solicitudes por llamada, pero la facturacion se cuenta por el numero de solicitudes incluidas (es decir, 30 solicitudes).

Resumen

Verified Permissions es un servicio que externaliza la autorizacion de aplicaciones con el lenguaje de politicas Cedar. Separa la autenticacion de usuarios y la autorizacion con la integracion de Cognito, y automatiza la validacion sintactica con el esquema del Policy Store. La API BatchIsAuthorized autoriza multiples solicitudes de forma masiva, y las plantillas de politicas optimizan la gestion de patrones comunes. Un diseno hibrido de RBAC y ABAC logra tanto la gestion simple de roles como el control de acceso condicional granular, con CloudTrail proporcionando logs de auditoria de las solicitudes de autorizacion.

Servicios relacionados

Amazon Verified PermissionsServicio de autorización detallada para aplicaciones personalizadas usando el lenguaje de políticas CedarAmazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon API GatewayUn servicio completamente administrado para crear, publicar, gestionar y monitorear APIs

Artículos relacionados

Acceso Zero Trust con AWS Verified Access - Conexión a aplicaciones sin VPNEliminación de VPN y acceso zero trust que verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. Presentamos el control granular con políticas Cedar.Autenticación de usuarios con Amazon Cognito - Diseño de User Pool e Identity PoolExplicamos la autenticación de usuarios con Cognito User Pool, el acceso a recursos AWS con Identity Pool y la integración de inicio de sesión social.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Amazon Verified PermissionsServicio gestionado que externaliza la lógica de autorización de aplicaciones usando el lenguaje de políticas Cedar, habilitando control de acceso granularInicio de sesión único con AWS IAM Identity Center - Gestión de acceso multi-cuentaLogra inicio de sesión único para entornos multi-cuenta y controla los niveles de acceso a cada cuenta con conjuntos de permisos. Cubre integración con IdP externo y uso de ABAC.AWS Verified AccessServicio que proporciona acceso seguro a aplicaciones corporativas sin VPNAcceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.