Amazon Verified Permissions のアイコン

Amazon Verified Permissions

Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス

約 1 分で読めます

何ができるか

Amazon Verified Permissions は、アプリケーションの認可 (誰が何をできるか) ロジックを Cedar ポリシー言語で定義し、アプリケーションコードから分離するサービスです。ポリシーストアにアクセスルールを集約し、API 経由で認可判定を実行します。Cognito と統合してユーザー属性に基づく認可を実現できます。

どのような場面で使うか

マルチテナント SaaS アプリケーションの認可、ロールベースアクセス制御 (RBAC) と属性ベースアクセス制御 (ABAC) の実装、認可ロジックのアプリケーションコードからの分離に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの入退室管理システムに例えられます。各部屋 (リソース) へのアクセス権を管理システム (Verified Permissions) に集約し、「営業部の社員は会議室 A に入れる」「管理者は全部屋に入れる」といったルール (ポリシー) を一元管理します。

Verified Permissions とは

この記事は約 2 分で読めます。 Amazon Verified Permissions は、認可ロジックの外部化サービスです。従来、「このユーザーはこのリソースにアクセスできるか」の判定はアプリケーションコード内に if 文で実装されていました。Verified Permissions は Cedar ポリシー言語でルールを定義し、IsAuthorized API で認可判定を実行します。ポリシーの変更がアプリケーションの再デプロイなしに反映されます。

Cedar ポリシーとスキーマ

Cedar は AWS が開発したオープンソースのポリシー言語です。「principal (誰が) が action (何を) resource (何に対して) できるか」を宣言的に記述します。スキーマでエンティティタイプ (User、Document、Folder) とアクション (Read、Write、Delete) を定義し、ポリシーの整合性を検証できます。Cognito のユーザープールと統合すると、JWT トークンの属性 (グループ、カスタム属性) をポリシーの判定に使用できます。

はじめかた

Verified Permissions コンソールでポリシーストアを作成し、スキーマを定義します。Cedar ポリシーを作成してアクセスルールを記述します。アプリケーションから IsAuthorized API を呼び出し、認可判定の結果 (Allow / Deny) に基づいてアクセスを制御します。

Azure・オンプレミスとの比較

Azure の対応サービス Azure RBAC + Azure Policy
オンプレミスでの対応手段 Open Policy Agent (OPA)、Casbin

AWS の優位点

  • Cedar ポリシー言語で認可ロジックをアプリケーションコードから分離し、ポリシー変更を再デプロイなしに反映
  • Cognito との統合で JWT トークンの属性に基づく認可判定を実現
  • スキーマによるポリシーの整合性検証で、誤ったポリシー定義を事前に検出

注意点

  • 認可リクエスト数に応じた従量課金。高頻度の認可判定はコストに注意
  • Cedar はオープンソースで、ローカルでのポリシーテストやシミュレーションが可能

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス