Perguntas frequentes sobre o Amazon Verified Permissions

O Verified Permissions ajuda a implementar e aplicar uma autorização detalhada sobre os recursos das aplicações que você cria e implanta, como sistemas de RH e aplicações bancárias. Com o Verified Permissions, você pode realizar as seguintes tarefas:

1. Definir um modelo de acesso baseado em políticas que descreva os recursos gerenciados por sua aplicação e as ações (como visualizar, atualizar e compartilhar) que os usuários podem realizar nesses recursos.
2. Oferecer aos usuários da aplicação a capacidade de gerenciar o acesso aos recursos. A aplicação cria uma permissão para que o especialista visualize e atualize os registros e, em seguida, os armazena no Verified Permissions.
3. Impor essas permissões.

Use o Verified Permissions junto com seu provedor de identidade, como o Amazon Cognito, para obter uma solução de gerenciamento de acesso mais dinâmica e baseada em políticas para suas aplicações. Você pode criar aplicações que ajudem os usuários finais a compartilhar informações e colaborar, preservando a segurança, a confidencialidade e a privacidade dos seus dados. O Verified Permissions ajuda a criar aplicações com mais rapidez. Também ajuda a reduzir os custos operacionais, fornecendo um sistema de autorização detalhado para impor o acesso com base nos perfis e nos atributos de suas identidades e recursos. Você pode definir seu modelo de política, criar e armazenar políticas em um local central e avaliar solicitações de acesso em milissegundos. Como um mecanismo de política, o Verified Permissions pode ajudar sua aplicação a verificar a ação dos usuários em tempo real, conforme necessário para a confiança zero. Ele também destaca as permissões que são excessivamente privilegiadas e não são válidas. O Verified Permissions oferece suporte para governança e conformidade. Ele fornece ferramentas de auditoria para configurar, manter e analisar permissões em várias aplicações diversificadas que ajudam a responder a perguntas, por exemplo, quem tem acesso ao quê.

No Console de Gerenciamento da AWS, acesse Amazon Verified Permissions em Segurança, identidade e conformidade. Simplifique a configuração da sua primeira aplicação usando o assistente que orienta você no processo de definição do modelo de permissões e criação de permissões da aplicação. Em seguida, você pode usar a API ou o console do serviço para avaliar solicitações de acesso.

Combinado com o Amazon Cognito e outros provedores de identidade, o Verified Permissions oferece uma solução dinâmica de gerenciamento de acesso para aplicações de consumidor. Os desenvolvedores de aplicações podem usar o Amazon Cognito para gerenciar identidades de usuários e autenticar usuários no login. O Verified Permissions pode então determinar quais recursos da aplicação um usuário autenticado tem permissão para acessar. Você também pode usar o serviço com o IAM Identity Center para aplicações de força de trabalho.

Você precisa de autorização detalhada em suas aplicações para limitar o acesso do usuário ao privilégio mínimo, conforme necessário, para uma arquitetura de Confiança Zero. Um sistema central de autorização baseado em políticas oferece aos desenvolvedores uma forma consistente de definir e gerenciar autorizações detalhadas em todas as aplicações, simplifica a alteração das regras de permissão sem a necessidade de alterar o código e melhora a visibilidade das permissões ao retirá-las do código.

Você pode criar um modelo de acesso baseado em políticas que descreva seus recursos gerenciados por aplicações e as ações que podem ser realizadas nesses recursos. Esses recursos podem incluir identidades não humanas, como dispositivos ou processos do sistema. Você pode criar seu modelo por meio do console, de uma API ou de uma interface da linha de comando.

Sim, o Verified Permissions pode ser usado com identidades de provedores como Okta, Ping Identity e CyberArk.

Você pode definir permissões por meio da linguagem de política do Cedar. Políticas Cedar são declarações de permissão ou proibição que determinam se um usuário pode agir em um recurso. As políticas estão associadas aos recursos, e você pode anexar várias políticas a um recurso. As políticas de proibição substituem as políticas de permissão. Isso ajuda você a estabelecer barreiras de proteção em sua aplicação que impedem o acesso, independentemente de quais políticas de permissão possam estar em vigor.

O Cedar é uma linguagem de política flexível, extensível e escalável, que ajuda os desenvolvedores a expressar permissões de aplicações como políticas. Administradores e desenvolvedores podem definir políticas que permitem ou proíbem os usuários de agir com base nos recursos da aplicação. Várias políticas podem ser anexadas a um único recurso. Quando um usuário da sua aplicação tenta realizar uma ação em um recurso, a aplicação faz uma solicitação de autorização ao mecanismo de política Cedar. O Cedar avalia as políticas aplicáveis e retorna uma decisão ALLOW ou DENY. O Cedar oferece suporte à regras de autorização para qualquer tipo de entidade principal e recurso, permite o controle de acesso baseado em funções e atributos e oferece suporte à análise por meio de ferramentas de raciocínio automatizadas.

Quando um usuário da aplicação tenta realizar uma ação em um recurso, a aplicação pode chamar a API do Verified Permissions com uma solicitação de autorização. O Verified Permissions verifica a solicitação em relação às políticas relevantes e retorna uma decisão ALLOW ou DENY com base no resultado da avaliação. Com base nesse resultado, a aplicação pode permitir que o usuário execute a ação ou pode bloqueá-la.

Use as APIs do Verified Permissions em sua aplicação para criar, atualizar e anexar políticas a recursos e autorizar solicitações de acesso dos usuários. Quando um usuário tenta uma ação em um recurso, sua aplicação cria uma estrutura. Essa solicitação inclui informações sobre o usuário, a ação e o recurso e as transmite para o Verified Permissions. O serviço avalia a solicitação e responde com uma decisão de PERMITIR ou NEGAR. A aplicação então será responsável por impor essa decisão.

O Verified Permissions valida as políticas que você cria em relação ao modelo de permissões e rejeita todas as políticas que não sejam válidas. Por exemplo, se as ações descritas na política não forem válidas para o tipo de recurso, sua aplicação será impedida de criar a política. O Verified Permissions ajuda a verificar a integridade e a exatidão de suas políticas. O serviço também ajuda a identificar políticas que se contradizem diretamente, recursos que nenhum usuário tem permissão para acessar ou usuários com acesso excessivamente privilegiado. O serviço usa uma forma de análise matemática chamada raciocínio automatizado, que pode analisar milhões de políticas em várias aplicações.

O Verified Permissions ajuda a determinar quem tem acesso ao quê e quem pode visualizar e modificar permissões. Ele confirma que somente usuários autorizados poderão modificar as permissões de uma aplicação e que as alterações serão totalmente auditadas. Os auditores têm uma visão de quem fez as alterações e quando elas foram feitas.

Não. Você deve usar a linguagem da política do Cedar para criar políticas. Enquanto o Cedar foi projetado para oferecer suporte ao gerenciamento de permissões para recursos de aplicações do cliente, a linguagem de política do IAM evoluiu para oferecer suporte ao controle de acesso aos recursos da AWS.