Amazon Verified Permissions 常見問答集

頁面主題

一般問題

一般問題

Verified Permissions 可協助您在自己建置部署的應用程式 (如 HR 系統和銀行應用程式) 資源中實施精細授權。藉由 Verified Permissions,您可以執行以下任務:

  1. 定義以政策為基礎的存取模型,該模型可描述您的應用程式管理的資源,以及使用者可以在這些資源上執行的動作,例如:檢視、更新和分享。
  2. 讓應用程式使用者能夠管理這些資源的存取權。該應用程式為專家們建立許可,用於檢視和更新記錄,並將內容儲存於 Verified Permissions。
  3. 實施這些許可。

搭配使用 Verified Permissions 和 Amazon Cognito 等身分提供者,為應用程式提供更動態、以政策為基礎的存取管理解決方案。您可以建置應用程式,協助終端使用者分享資訊與協作,同時確保資料的安全性、保密性和隱私。Verified Permissions 協助您更快速地建置應用程式。該功能還可提供您精細授權系統,以根據您的身分與資源的角色和屬性實施存取權,進而有助於降低營運成本。您可以自行定義政策模型,在一個集中位置建立和存放政策,並立即評估存取要求。Verified Permissions 是一款政策引擎,能夠協助您的應用程式如零信任所要求,即時驗證使用者動作。同時也會標記超出權限和無效的許可。Verified Permissions 支援管控與合規。此服務提供稽核工具,以在多個應用程式中設定、維護和分析許可,進一步協助回答問題,而問題則如誰擁有哪些存取權。

在 AWS 管理主控台的安全、身分及合規項下,存取 Amazon Verified Permissions。使用精靈引導您定義應用程式許可模式和建立許可,藉此簡化首個應用程式的建立過程。您便能用該服務 API 或主控台評估存取要求。

Verified Permissions、Amazon Cognito 和其他身分提供者為消費者應用程式提供您動態存取管理解決方案。應用程式開發人員可以用 Amazon Cognito 管理使用者身分,並在登入時驗證使用者。接著,Verified Permissions 可以決定通過身分驗證的使用者能存取哪些應用程式資源。您也可以針對人力應用程式搭配使用 IAM Identity Center。

您的應用程式需要精細授權,才能如零信任架構所要求,限制使用者僅存取最低權限。以政策為基礎的中央授權系統為開發人員提供始終一致的方式,來定義和管理跨應用程式的精細授權,簡化變更權限規則,而無需變更程式碼。除此之外,也將權限移出程式碼,以提高權限可見性。

您可以建立一個以政策為基礎的存取模型,描述您的應用程式所管理的資源,以及可對這些資源執行的動作。這些資源可為非真人身分,例如裝置或系統程序。您可以透過主控台、API 或命令列介面建立模型。

可以。Verified Permissions 可與來自 Okta、Ping Identity 和 CyberArk 等身分提供者的身分搭配使用。

您可以透過 Cedar 政策語言定義許可。Cedar 是決定使用者能否於資源執行動作的許可禁止陳述式。政策與資源關聯,並且您可以將多項政策連接至資源。禁止政策會覆寫許可政策。如此一來,無論許可政策為何,都能於預防存取的應用程式內建立防護機制。

Cedar 是一種具彈性且可擴展的政策型存取控制語言,可協助開發人員以政策形式呈現應用程式許可。管理員和開發人員可定義政策,允許或禁止使用者在應用程式資源上執行動作。一個資源上可以附加多個政策。如果您的應用程式使用者要在資源上執行動作,應用程式會向 Cedar 政策引擎提交授權要求。Cedar 會評估可套用的政策,並回傳「許可」或「禁止」決定。Cedar 支援任何主體和資源的授權規則,允許以屬性為基礎和以角色為基礎的存取控制,並透過自動推理工具支援分析。

應用程式使用者要在資源上執行動作時,應用程式可以授權要求呼叫 Verified Permissions API。Verified Permissions 會核對該要求與相關政策,根據評估結果回傳允許或拒絕決定。根據此結果,應用程式會允許或拒絕使用者執行該動作。

在您的應用程式使用 Verified Permissions API 以建立、更新政策,或將政策附加於資源,並授權使用者的存取要求。使用者要在資源上執行動作時,應用程式會建構一則請求。該請求包含使用者、動作、資源等資訊,並傳遞至 Verified Permissions。此服務會評估該要求,並回傳「允許」或「拒絕」決定。接著,應用程式須根據該決定執行動作。

Verified Permissions 會驗證您針對許可模型建立的政策,並拒絕所有無效政策。例如,若該政策描述的動作對該種資源類型無效,應用程式便無法建立該政策。Verified Permissions 協助您驗證政策的完整性與正確性。此服務也協助您識別出相互牴觸的政策、從未受使用者存取的資源,或超出存取權限的使用者。此服務使用所謂自動推理的數學分析法,分析多個應用程式中數百萬的政策。

Verified Permissions 協助您決定誰擁有哪些存取權,以及誰可以檢視和修改權限。透過如此,便可確定只有授權使用者能修改應用程式的許可,且變更皆會經過完整稽核。稽核員會知道該變更的執行者與執行時間。

否。您必須使用 Cedar 政策語言來編寫政策。Cedar 政策語言旨在支援消費者應用程式資源的許可管理,而 IAM 政策語言則經過演進以支援 AWS 資源的存取控制。