- Seguridad, identidad y conformidad›
- Amazon Verified Permissions›
- Características
Características de Amazon Verified Permissions
Como definir su modelo de autorización
Esquema
Con la compatibilidad con Cedar, puede definir su esquema en función de cada tipo de entidad, incluidos los atributos adecuados para el modelo de autorización y las combinaciones válidas de tipos de entidades principales, tipos de recursos y acciones. Verified Permissions utiliza el esquema para validar que una política estática o plantilla de política estática sea coherente con el modelo de autorización de la aplicación. Puedes usar JSON para definir un esquema en Verified Permissions. Guarda cierto parecido con el esquema JSON, pero utiliza aspectos exclusivos del lenguaje de la política Cedar. Puede definir grupos de acciones en su esquema, que son políticas que permiten o prohíben grupos de acciones.
Solicitudes de autorización
Conecte su aplicación al servicio mediante la API para autorizar las solicitudes de acceso de los usuarios. Para cada solicitud de autorización, el servicio recupera las políticas pertinentes basadas en Cedar y las evalúa para determinar si un usuario puede realizar una acción en un recurso dadas las entradas de contexto, como los usuarios, las funciones, la pertenencia a un grupo y los atributos.
Administración y validación de políticas
Almacén de políticas
Un almacén de políticas es un contenedor de políticas basadas en Cedar en Verified Permissions que está aislado lógicamente de otros contenedores. Puede crear todas sus relaciones y configuraciones jerárquicas en un único almacén de políticas para distinguir las políticas y plantillas de políticas de otros almacenes de políticas. Por lo general, los almacenes de políticas se asignan a cada aplicación y permiten crear diferentes configuraciones y reglas de esquema en varias cuentas sin compartirse ni conectarse entre ellas. Por ejemplo, podría tener un almacén de políticas independiente para cada cuenta que utilice una aplicación de Verified Permissions; puede eliminar el almacén de políticas de una cuenta sin afectar a los recursos, los esquemas, las políticas y las plantillas de políticas de ningún otro almacén de políticas.
Función de banco de pruebas
El banco de pruebas es una herramienta para probar y solucionar problemas con las políticas de Verified Permissions mediante la ejecución de una solicitud de autorización simulada en todas las políticas basadas en Cedar del almacén de políticas. El banco de pruebas utiliza los parámetros que especifique para determinar si las políticas de su almacén de políticas autorizarían la solicitud.
Plantillas de políticas
Puede utilizar una plantilla de política, que es una declaración de política basada en Cedar con marcadores de posición en el ámbito que deben completarse con valores específicos. Una plantilla de política puede tener marcadores de posición para la entidad principal, el recurso o ambos. Las actualizaciones de la plantilla de políticas se reflejan en todos las entidades principales y recursos que utilizan la plantilla, también conocida como política vinculada a plantillas.
Recomendamos utilizar plantillas de políticas para crear políticas basadas en Cedar que se puedan compartir en toda la aplicación. Por ejemplo, puede crear una plantilla de política para un editor que proporcione permisos de lectura, edición y comentario para la entidad principal y el recurso que utilizan la plantilla de política. También puede usar plantillas de políticas para definir controles de acceso gruesos, medianos y detallados para sus aplicaciones. Por ejemplo, puede utilizar plantillas de políticas para asignar usuarios específicos a un grupo, controles intermedios para asignar el acceso a recursos específicos y controles detallados para los atributos más específicos de los recursos.
Consulta y auditoría de políticas
Políticas de consulta
Con las API de Verified Permissions, puede ejecutar consultas específicas sobre las políticas almacenadas en Verified Permissions. Puede consultar sus políticas para determinar cuáles se aplican a entidades principales específicas, recursos específicos o ambos.
Auditoría y registro
Puede configurar y conectar Verified Permissions para enviar sus registros de administración y autorización de políticas a AWS CloudTrail.
Integraciones y extensibilidad
Integración con Amazon Cognito
Puede pasar su token de autenticación de Amazon Cognito a una solicitud de autorización que se ejecute mediante Verified Permissions. Esto le permite pasar directamente por los atributos del proveedor de identidades a una evaluación de políticas y, por lo tanto, a una decisión de autorización generada por Verified Permissions.
Integración con AWS CloudFormation
Verified Permissions se integra con CloudFormation, un servicio que lo ayuda a modelar y configurar sus recursos de AWS para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Usted crea una plantilla que describe todos los recursos de AWS que desea, y CloudFormation aprovisiona y configura esos recursos por usted.
Extensibilidad
El SDK de Verified Permissions está disponible en C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust y Swift.