- Seguridad, identidad y conformidad›
- Amazon Verified Permissions›
- Preguntas frecuentes
Preguntas frecuentes sobre Amazon Verified Permissions
Temas de la página
Aspectos generalesAspectos generales
¿Qué es Amazon Verified Permissions?
Verified Permissions lo ayuda a implementar y aplicar autorizaciones precisas a los recursos dentro de las aplicaciones que construye e implementa, como los sistemas de RR. HH. y las aplicaciones bancarias. Con Verified Permissions, puede realizar las siguientes tareas:
- Definir un modelo de acceso basado en políticas que describe los recursos administrados por su aplicación y las acciones (como ver, actualizar y compartir) que los usuarios pueden realizar con dichos recursos.
- Brindar a los usuarios de la aplicación la capacidad de administrar el acceso a dichos recursos. La aplicación crea un permiso para que el especialista pueda ver y actualizar los registros y luego lo almacena en Verified Permissions.
- Aplicar dichos permisos.
¿Por qué debería utilizar Verified Permissions?
Utilice Verified Permissions junto con su proveedor de identidades, como Amazon Cognito, para beneficiarse de una solución de administración de acceso más dinámica y basada en políticas para sus aplicaciones. Puede crear aplicaciones que ayuden a los usuarios finales a compartir información y colaborar, a la vez que se mantiene la seguridad, la confidencialidad y la privacidad de sus datos. Verified Permissions lo ayuda a desarrollar aplicaciones con más rapidez. También ayuda a reducir los costos operativos al proporcionarle un sistema de autorización detallado para imponer el acceso basado en funciones y atributos de sus identidades y recursos. Puede definir su modelo de políticas, crear y almacenar políticas en una ubicación central, y evaluar las solicitudes de acceso en milisegundos. Como un motor de políticas, Verified Permissions puede ayudar a su aplicación a verificar la acción del usuario en tiempo real, tal como se requiere para Zero Trust. Además, también destaca permisos que no son válidos y que tienen más privilegios de los que deberían. Verified Permissions respalda la dirección y el cumplimiento. Brinda herramientas de auditoría para configurar, mantener y analizar permisos en varias aplicaciones con el objetivo de ayudar a responder preguntas, como quién tiene acceso a qué.
¿Qué debo hacer para comenzar?
En la Consola de administración de AWS, acceda a Amazon Verified Permissions en Seguridad, identidad y conformidad. Simplifique la configuración de su primera aplicación mediante el asistente, el cual lo guiará a través del proceso de definición del modelo de permisos de su aplicación y la creación de los permisos. A continuación, puede utilizar la API o la consola del servicio para evaluar solicitudes de acceso.
¿Cómo funciona Verified Permissions con otros servicios de AWS?
Verified Permissions, combinado con Amazon Cognito y otros proveedores de identidades, le brinda una solución dinámica de administración de acceso para aplicaciones de consumidores. Los desarrolladores de aplicaciones pueden utilizar Amazon Cognito para administrar identidades de usuario y autenticar usuarios durante el inicio de sesión. Verified Permissions puede entonces determinar a qué recursos de la aplicación puede acceder un usuario autenticado. También puede utilizar el servicio con IAM Identity Center para aplicaciones de personal.
¿Por qué necesito una autorización detallada para las aplicaciones que desarrollo y cómo las admiten Verified Permissions?
Necesita una autorización detallada en sus aplicaciones para limitar el acceso de los usuarios al privilegio mínimo, tal y como requiere una arquitectura de Zero Trust. Un sistema central de autorización basado en políticas ofrece a los desarrolladores una forma coherente de definir y administrar autorizaciones detalladas en todas las aplicaciones, simplifica la modificación de las reglas de permisos sin necesidad de cambiar el código y mejora la visibilidad de los permisos al trasladarlos fuera del código.
¿Cómo defino un modelo de acceso basado en políticas para Verified Permissions para mis usuarios, recursos y acciones?
Puede crear un modelo de acceso basado en políticas que describa los recursos administrados por su aplicación y las acciones que se pueden realizar respecto a esos recursos. Estos recursos pueden incluir identidades no humanas, como dispositivos o procesos de sistemas. Puede crear su modelo mediante la consola, una API o la interfaz de la línea de comandos.
¿Verified Permissions funciona con otros proveedores de identidad que no sean Amazon Cognito?
Sí, Verified Permissions puede utilizarse con identidades de proveedores como Okta, Ping Identity y CyberArk.
¿Cómo defino los permisos?
Puede definir permisos mediante el lenguaje de políticas Cedar. Las políticas Cedar permiten o prohíben instrucciones que determinen si un usuario puede actuar sobre un recurso. Las políticas están asociadas a los recursos y puede adjuntar varias políticas a un recurso. Las políticas de prohibición anulan a las políticas de permiso. Esto lo ayuda a establecer barreras de protección dentro de su aplicación para evitar el acceso, sin importar qué políticas de permiso están asignadas.
¿Qué es Cedar?
Cedar es un lenguaje de control de acceso basado en políticas flexible, ampliable y escalable, que ayuda a los desarrolladores a expresar los permisos para las aplicaciones como políticas. Los administradores y los desarrolladores pueden definir políticas que permitan o prohíban a los usuarios actuar sobre recursos de aplicaciones. Se pueden adjuntar varias políticas a un único recurso. Cuando un usuario de su aplicación intente realizar una acción sobre un recurso, su aplicación enviará una solicitud de autorización al motor de políticas Cedar. Cedar evaluará las políticas aplicables y devolverá, en consecuencia, la decisión PERMIT o FORBID. Cedar es compatible con reglas de autorización para cualquier tipo de entidad principal y recurso, permite el control de acceso basado en roles y atributos y admite análisis mediante herramientas de razonamiento automatizado.
¿Cómo puede mi aplicación evaluar solicitudes de acceso de los usuarios?
Cuando un usuario de su aplicación intenta realizar una acción sobre un recurso, su aplicación puede llamar a la API de Verified Permissions con una solicitud de autorización. Verified Permissions verifica la solicitud de acuerdo con las políticas relevantes y devuelve la decisión de ALLOW (PERMITIR) o DENY (DENEGAR) según el resultado de dicha evaluación. A partir del resultado, su aplicación puede permitir o no al usuario realizar la acción.
¿Cómo integro mi aplicación con Verified Permissions para crear y evaluar políticas de este servicio?
Utilice las API de Verified Permissions en su aplicación para crear y actualizar políticas, adjuntarlas a recursos y autorizar solicitudes de acceso de usuarios. Cuando un usuario intenta una realizar una acción sobre un recurso, su aplicación elabora una solicitud. Esta solicitud incluye información acerca del usuario, la acción y el recurso, y la transfiere a Verified Permissions. El servicio evalúa la solicitud y responde con una decisión ALLOW (PERMITIR) o DENY (DENEGAR). A continuación, su aplicación se encargará de llevar a cabo dicha decisión.
¿Cómo confirmo que los permisos creados en Verified Permissions sean correctos?
Verified Permissions valida políticas que usted crea de acuerdo con el modelo de permisos y rechaza aquellas políticas que no sean válidas. Por ejemplo, si las acciones descritas en la política no son válidas para el tipo de recurso, su aplicación no podrá crear la política. Verified Permissions lo ayuda a verificar que las políticas sean completas y correctas. El servicio también lo ayuda a identificar políticas que se contradicen entre ellas de manera directa, recursos a los que ningún usuario tienen permiso para acceder, o usuarios con demasiados privilegios de acceso. El servicio utiliza un tipo de análisis matemático llamado razonamiento automatizado que puede analizar millones de políticas en varias aplicaciones.
¿Cómo me ayuda Verified Permissions con el cumplimiento y la auditoría?
Verified Permissions lo ayuda a determinar quién tiene acceso a qué, y quién puede ver y modificar permisos. Además, confirma que solo los usuarios autorizados pueden modificar los permisos de una aplicación y qué cambios están completamente auditados. Los auditores obtienen una visión de quién realizó los cambios y cuándo se produjeron.
¿Puedo crear políticas en Verified Permissions con el lenguaje de políticas de IAM?
No. Debe utilizar el lenguaje de políticas de Cedar para crear políticas. Mientras que Cedar está diseñado para dar soporte a la administración de permisos para recursos de aplicaciones de clientes, mientras que el lenguaje de políticas de IAM ha evolucionado para admitir el control de acceso para recursos de AWS.