Amazon Verified Permissions 功能

定義您的授權模型

憑藉 Cedar 支援,您可以根據每個實體類型來定義結構描述,包括與授權模型相關的屬性,以及主體類型、資源類型和動作的有效組合。Verified Permissions 使用結構描述來驗證靜態政策或政策範本是否與應用程式的授權模型一致。您可以使用 JSON 在 Verified Permissions 中定義結構描述。它與 JSON 結構描述有些相似之處,但會使用 Cedar 政策語言的獨特方面。您可以在結構描述中定義動作群組,其為允許或禁止一組動作的政策。

透過 API 將您的應用程式連接至此服務,以授權使用者存取要求。對於每個授權要求,服務都會擷取相關政策並評估這些以 Cedar 為基礎的政策,以判斷是否允許使用者在特定內容輸入 (例如使用者、角色、群組成員資格和屬性) 下對資源採取動作。

政策管理和驗證

政策存放區是 Verified Permissions 中以 Cedar 為基礎之政策的容器,在邏輯上與其他容器隔離。您可以在單一政策存放區中建立所有階層式關係和組態,以區分政策和政策範本與其他政策存放區。政策存放區通常會對應至每個應用程式,讓您能跨多個租用戶建立不同的組態和結構描述規則,而無需在租用戶之間共用或連接。例如,您可以為每個租用戶使用 Verified Permissions 應用程式建立個別的政策存放區;您可以刪除一個租用戶的政策存放區,而不會影響其他政策存放區的資源、結構描述、政策和政策範本。

測試台是測試和疑難排解 Verified Permissions 政策的工具,方法是針對政策存放區中的所有以 Cedar 為基礎的政策執行模擬授權要求。測試台會使用您指定的參數來決定政策存放區中的政策是否授權要求。

您可以使用政策範本,這是以 Cedar 為基礎的政策陳述式,其範圍內的預留位置要用特定值填入。政策範本可以有主體、資源或兩者的預留位置。政策範本的更新會反映在使用該範本的所有主體和資源中,亦稱為範本連結的策略。

建議您使用政策範本來建立可在整個應用程式中共用之以 Cedar 為基礎的政策。例如,您可以為編輯器建立政策範本,為使用該政策範本的主體和資源提供讀取、編輯和註解權限。您也可以使用政策範本為應用程式定義粗略、中等和精細的存取控制。例如,您可以使用政策範本將特定使用者指派給群組、將存取權指派給特定資源的中等細度控制項,以及針對資源上最精細的屬性進行精細控制。

政策查詢與稽核

使用 Verified Permissions API,您可以針對儲存在 Verified Permissions 中的政策執行特定查詢。您可以查詢政策,以決定哪些政策適用於特定主體、特定資源或同時適用於兩者。

您可以設定並連接 Verified Permissions,將政策管理和授權日誌傳送至 AWS CloudTrail。

整合和可擴展性

您可以將身分驗證字符從 Amazon Cognito 傳遞到透過 Verified Permissions 執行的授權請求中。這可讓您將身分提供者屬性直接傳遞至政策評估中,進而傳遞由 Verified Permissions 產生的授權決策。

Verified Permissions 與 CloudFormation 整合,該服務可協助您建立 AWS 資源模型和設定,以減少建立和管理資源和基礎設施的時間。您可以建立一個範本來描述所需的所有 AWS 資源,然後 CloudFormation 會為您佈建和設定這些資源。

Verified Permissions SDK 可使用 C++、Go、Java、JavaScript、Kotlin、.NET、Node.js、PHP、Python、Ruby、Rust 和 Swift。