Amazon Verified Permissions のアイコン

Amazon Verified Permissions Nuevo2022年〜

Servicio de autorización detallada para aplicaciones personalizadas usando el lenguaje de políticas Cedar

Unos 2 min de lectura

Qué hace

Amazon Verified Permissions permite definir la lógica de autorización de aplicaciones (quién puede hacer qué) en el lenguaje de políticas Cedar, separándola del código de la aplicación. Las reglas de acceso se centralizan en un almacén de políticas, y las decisiones de autorización se toman mediante API. Se integra con Cognito para autorización basada en atributos de usuario.

Casos de uso

Se utiliza para autorización en aplicaciones SaaS multi-inquilino, implementación de control de acceso basado en roles (RBAC) y control de acceso basado en atributos (ABAC), y separación de la lógica de autorización del código de la aplicación.

Analogía cotidiana

Se puede comparar con un sistema de control de acceso de un edificio. Los derechos de acceso a cada sala (recurso) se centralizan en el sistema de gestión (Verified Permissions), con reglas (políticas) como "Los empleados del departamento de ventas pueden entrar a la Sala de Reuniones A" y "Los administradores pueden entrar a todas las salas" gestionadas en un solo lugar.

¿Qué es Verified Permissions?

Amazon Verified Permissions es un servicio de externalización de autorización. Tradicionalmente, las decisiones de "¿Puede este usuario acceder a este recurso?" se implementaban como sentencias if en el código de la aplicación. Verified Permissions define reglas en el lenguaje de políticas Cedar y ejecuta decisiones de autorización mediante la API IsAuthorized. Los cambios de políticas surten efecto sin redesplegar la aplicación.

Políticas Cedar y esquema

Cedar es un lenguaje de políticas de código abierto desarrollado por AWS. Describe declarativamente "quién (principal) puede hacer qué (acción) sobre qué (recurso)." Los esquemas definen tipos de entidades (Usuario, Documento, Carpeta) y acciones (Leer, Escribir, Eliminar), permitiendo la validación de consistencia de políticas. La integración con grupos de usuarios de Cognito permite usar atributos de tokens JWT (grupos, atributos personalizados) en las decisiones de políticas. Para profundizar en la comprensión de políticas Cedar y esquema, los libros relacionados (Amazon) son un recurso útil.

Cómo empezar

Cree un almacén de políticas en la consola de Verified Permissions y defina un esquema. Escriba políticas Cedar para describir las reglas de acceso. Llame a la API IsAuthorized desde su aplicación y controle el acceso según el resultado (Allow / Deny).

Aspectos a tener en cuenta

  • Pago por uso basado en el número de solicitudes de autorización. Tenga cuidado con los costos para decisiones de autorización de alta frecuencia
  • Cedar es de código abierto, lo que permite pruebas y simulación de políticas locales
共有するXB!

Servicios relacionados

Amazon Cognito iconoAmazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon API Gateway iconoAmazon API GatewayUn servicio completamente administrado para crear, publicar, gestionar y monitorear APIsAWS Lambda iconoAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidoresAWS IAM Identity Center iconoAWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaS

Artículos relacionados

Autorización granular con Amazon Verified Permissions - Control de acceso con políticas CedarPresentamos la técnica de externalizar la lógica de autorización del código de la aplicación con el lenguaje de políticas Cedar, y lograr decisiones de autorización basadas en tokens con la integración de Cognito.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

Amazon Verified PermissionsServicio gestionado que externaliza la lógica de autorización de aplicaciones usando el lenguaje de políticas Cedar, habilitando control de acceso granularAWS Verified AccessServicio que proporciona acceso seguro a aplicaciones corporativas sin VPNAcceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.Autorización granular con Amazon Verified Permissions - Control de acceso con políticas CedarPresentamos la técnica de externalizar la lógica de autorización del código de la aplicación con el lenguaje de políticas Cedar, y lograr decisiones de autorización basadas en tokens con la integración de Cognito.AWS Verified AccessServicio de acceso de red zero-trust que verifica la identidad del usuario y la postura del dispositivo antes de conceder acceso a aplicaciones corporativas sin necesidad de VPN