- Sécurité, identité et conformité›
- Amazon Verified Permissions›
- Fonctionnalités
Fonctions Amazon Verified Permissions
Définition de votre modèle d'autorisation
Schéma
Avec la prise en charge de Cedar, vous pouvez définir votre schéma en fonction de chaque type d’entité, y compris les attributs concernant le modèle d’autorisation et les combinaisons valides de types de principal, de types de ressources et d’actions. Verified Permissions utilise le schéma pour vérifier si une politique statique ou un modèle de politique est cohérent avec le modèle d'autorisation de l'application. Il est possible d'utiliser JSON pour définir un schéma dans Verified Permissions. Celui-ci ressemble quelque peu au schéma JSON, mais utilise des aspects uniques du langage de politique Cedar. Vous pouvez définir des groupes d'actions dans votre schéma, qui sont des politiques qui autorisent ou interdisent des groupes d'actions.
Demandes d'autorisation
Connectez votre application au service via l'API pour autoriser les demandes d'accès des utilisateurs. Pour chaque demande d’autorisation, le service récupère les politiques basées sur Cedar concernées et les évalue pour déterminer si un utilisateur est autorisé à effectuer une action sur une ressource en fonction d’une entrée contextuelle telle que les utilisateurs, les rôles, l’appartenance à un groupe et les attributs.
Gestion et validation des politiques
Magasin de politiques
Un magasin de politiques est un conteneur de politiques basées sur Cedar dans Verified Permissions qui est logiquement isolé des autres conteneurs. Vous pouvez créer toutes vos relations hiérarchiques et configurations dans un seul magasin de politiques de manière à distinguer les politiques et les modèles de politiques des autres magasins de politiques. Les magasins de politiques sont généralement mappés à chaque application et vous permettent de créer différentes configurations et règles de schéma pour plusieurs locataires qui ne sont pas partagés ni connectés entre eux. Par exemple, vous pouvez disposer d'un magasin de politiques distinct pour chaque locataire utilisant une application Verified Permissions ; vous pouvez supprimer le magasin de politiques d'un locataire sans affecter les ressources, les schémas, les politiques et les modèles de politiques de tout autre magasin de politiques.
Fonction du banc d'essai
Le banc d’essai est un outil qui permet de tester et de résoudre les problèmes liés à Verified Permissions par l’exécution d’une demande d’autorisation simulée sur toutes les politiques basées sur Cedar de votre magasin de politiques. Le banc d'essai utilise les paramètres que vous spécifiez pour déterminer si les politiques de votre magasin de politiques autorisent la demande.
Modèles de politiques
Vous pouvez utiliser un modèle de politique, qui consiste en une déclaration de politique basée sur Cedar avec des espaces réservés dans le champ d’application à remplir avec des valeurs spécifiques. Un modèle de politique peut comporter des espaces réservés pour le principal, la ressource ou les deux. Les mises à jour du modèle de politique sont reflétées dans tous les principaux et ressources qui utilisent le modèle, ce qui est également connu sous le nom de politique liée au modèle.
Nous recommandons l’utilisation de modèles de politiques pour créer des politiques basées sur Cedar qui peuvent être partagées dans l’ensemble de votre application. Par exemple, vous pouvez créer un modèle de politique pour un éditeur qui fournit des autorisations de lecture, de modification et de commentaire pour le principal et la ressource qui utilisent le modèle de politique. Vous pouvez également utiliser des modèles de politique pour définir des contrôles d'accès à grande, moyenne et fine précision pour vos applications. Par exemple, vous pouvez utiliser des modèles de politique pour attribuer des utilisateurs spécifiques à un groupe, des contrôles de précision moyenne pour attribuer l'accès à des ressources spécifiques et des contrôles plus précis pour les attributs les plus précis des ressources.
Requête et audit des politiques
Politiques relatives aux requêtes
Lors de l'utilisation des API Verified Permissions, vous pouvez exécuter des requêtes spécifiques par rapport aux politiques stockées dans Verified Permissions. Vous pouvez interroger vos politiques pour déterminer celles qui sont appliquées à des principaux ou des ressources spécifiques ou aux deux à la fois.
Audit et journalisation
Vous pouvez configurer et connecter Verified Permissions pour envoyer vos journaux d'autorisation et de gestion des politiques à AWS CloudTrail.
Intégrations et extensibilité
Intégration à Amazon Cognito
Vous pouvez transmettre votre jeton d'authentification depuis Amazon Cognito dans une requête d'autorisation via Verified Permissions. Cela vous permet de transmettre les attributs du fournisseur d'identité directement dans l'évaluation d'une politique et donc dans une décision d'autorisation générée par Verified Permissions.
Intégration avec AWS CloudFormation
Verified Permissions est intégré à CloudFormation, un service qui vous aide à modéliser et à configurer vos ressources AWS afin de consacrer moins de temps à la création et à la gestion de vos ressources et de votre infrastructure. Vous créez un modèle qui décrit toutes les ressources AWS que vous souhaitez, et CloudFormation se charge du mettre en service et de configurer ces ressources pour vous.
Extensibilité
Le SDK Verified Permissions est disponible en C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust et Swift.