セキュリティ

Amazon Verified Permissions で実装するきめ細かい認可 - Cedar ポリシーによるアクセス制御

Cedar ポリシー言語で認可ロジックをアプリケーションコードから外部化し、Cognito 統合でトークンベースの認可判定を実現する手法を紹介します。

約 1 分で読めます

Verified Permissions の概要

Verified Permissions はアプリケーションのきめ細かい認可をマネージドに提供するサービスで、1 秒あたり数千の認可リクエストを処理します。従来、認可ロジックはアプリケーションコード内に if 文で実装されることが多く、ポリシーの変更にコードデプロイが必要でした。Verified Permissions は Cedar ポリシー言語で認可ルールを外部化し、ポリシーの変更をコードデプロイなしに反映します。

Cedar ポリシーと Cognito 統合

Cedar ポリシーは permit (許可) と forbid (拒否) のステートメントで構成されます。「ユーザー A はドキュメント X の read アクションを許可」「管理者ロールは全リソースの全アクションを許可」といったルールを宣言的に記述します。Cognito との統合では、ID トークンのクレーム (グループ、カスタム属性) を Cedar ポリシーのプリンシパル属性として使用し、トークンベースの認可判定を実現します。API Gateway のオーソライザーとして Lambda を配置し、Verified Permissions の IsAuthorized API を呼び出すパターンが一般的です。

ポリシーストアとバッチ認可

ポリシーストアは Cedar ポリシーのコレクションで、アプリケーションごとに作成します。スキーマでエンティティタイプ (User 、 Document 、 Folder) とアクション (Read 、 Write 、 Delete) を定義し、ポリシーの構文検証を自動化します。 IsAuthorized API で単一のリクエストを認可し、 BatchIsAuthorized API で複数のリクエストを一括認可します。ポリシーテンプレートで共通パターンを定義し、テンプレートリンクポリシーでユーザーやリソースを動的にバインドすることで、ポリシーの管理を効率化します。 CloudTrail で認可リクエストのログを記録し、アクセスパターンの分析と監査に活用します。 Verified Permissions のベストプラクティスを網羅的に学ぶなら、技術書 (Amazon)を参照してください。

Verified Permissions の料金

Verified Permissions の料金は認可リクエスト数で課金されます。100 万リクエストあたり約 15 ドルで、ポリシーストアの管理やスキーマの定義に追加料金は発生しません。Cognito との統合で、ユーザー認証 (Cognito) と認可 (Verified Permissions) を分離し、認可ロジックをアプリケーションコードから外部化します。リクエスト数が多いアプリケーションでは、認可結果をキャッシュしてリクエスト数を削減することでコストを最適化します。

まとめ

Verified Permissions は Cedar ポリシー言語でアプリケーションの認可を外部化するサービスです。Cognito との統合でユーザー認証と認可を分離し、ポリシーストアのスキーマで構文検証を自動化します。BatchIsAuthorized API で複数リクエストを一括認可し、ポリシーテンプレートで共通パターンの管理を効率化します。CloudTrail で認可リクエストの監査ログを記録します。

関連するサービス

Amazon Verified PermissionsCedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービスAmazon CognitoWeb ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービスAmazon API GatewayAPI の作成、公開、管理、監視を簡単に行えるフルマネージドサービス

関連する記事

AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。Amazon Cognito で実装するユーザー認証 - User Pool と Identity Pool の設計Cognito User Pool によるユーザー認証、Identity Pool による AWS リソースアクセス、ソーシャルログインの統合を解説します。Amazon API Gateway の設計パターン - REST API と HTTP API の選定基準HTTP API と REST API の選定基準を明確にし、Cognito・Lambda オーソライザーの認証パターンとスロットリング設計の実践手法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Amazon Verified PermissionsCedar ポリシー言語を使ってアプリケーションの認可ロジックを外部化し、きめ細かなアクセス制御を実現するマネージドサービスAWS Verified AccessVPN を使わずにデバイスのセキュリティ状態と ID プロバイダーの認証情報に基づいて企業アプリケーションへのゼロトラストアクセスを実現するサービスゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現するAWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。AWS Verified AccessVPN なしで企業アプリケーションへのゼロトラストアクセスを提供するサービス