ميزات أذونات Amazon المُصدّقة

من خلال دعم Cedar، يمكنك تحديد مخططك من حيث كل نوع كيان، بما في ذلك السمات ذات الصلة بنموذج التفويض والمجموعات الصالحة من الأنواع الرئيسية وأنواع الموارد والإجراءات. وتستخدم الأذونات المُصدّقة المخطط في التحقق من توافق السياسات الثابتة أو قوالب السياسات مع نموذج التفويض في التطبيق. يمكنك استخدام تنسيق JSON في تحديد مخطط في الأذونات المُصدّقة؛ فهو يشبه إلى حد ما مخطط JSON ولكنه يستخدم جوانب فريدة من لغة سياسة Cedar. يمكنك تحديد مجموعات من الإجراءات في مخططك وهي سياسات تسمح أو تمنع اتخاذ مجموعات من الإجراءات.

يمكنك ربط تطبيقك بالخدمة من خلال واجهة برمجة التطبيقات لتفويض طلبات وصول المستخدمين. بالنسبة لكل طلب تخويل، تقوم الخدمة باسترداد السياسات ذات الصلة وتقييم تلك السياسات المستندة إلى Cedar لتحديد ما إذا كان يُسمح للمستخدم باتخاذ إجراء بشأن مورد معين مدخلات السياق مثل المستخدمين والأدوار وعضوية المجموعة والسمات.

مخزن السياسات عبارة عن حاوية للسياسات المستندة إلى Cedar في الأذونات التي تم التحقق منها والمعزولة منطقيًا عن الحاويات الأخرى. ويمكنك إنشاء كل العلاقات والتكوينات الهرمية في مخزن سياسة واحد لتمييز السياسات وقوالب السياسات عن مخازن السياسات الأخرى. تتعين مخازن السياسات عمومًا إلى كل تطبيق وتتيح لك إنشاء تكوينات وقواعد مخططات مختلفة عبر مستأجرين متعددين بدون المشاركة أو الاتصال بينهم. فعلى سبيل المثال، يمكن أن يتوفر لديك مخزن سياسات منفصل لكل مستأجر يستخدم تطبيق الأذونات المُصدّقة؛ حيث يمكنك حذف مخزن سياسات تابع لأحد المستأجرين بدون التأثير على الموارد والمخططات والسياسات وقوالب السياسات في أي مخزن سياسات آخر.

تعد منصة الاختبار أداة لاختبار سياسات الأذونات التي تم التحقق منها واستكشاف أخطائها وإصلاحها من خلال تشغيل طلب ترخيص تمت محاكاته مقابل جميع السياسات المستندة إلى Cedar في متجر السياسات الخاص بك. وتستخدم أداة الاختبار المعلمات التي تختارها لتحديد ما إذا كانت السياسات في مخزن السياسات الخاص بك ستوافق على الطلب أم لا.

يمكنك استخدام قالب السياسة، وهو عبارة عن بيان سياسة يستند إلى Cedar مع عناصر نائبة في النطاق الذي سيتم ملؤه بقيم محددة. ويمكن أن يحتوي قالب السياسة على عناصر نائبة خاصة بالمستخدم الأساسي أو المورد أو كليهما. تنعكس تحديثات قالب السياسة على جميع المستخدمين الأساسيين والموارد التي تستخدم القالب، ويُعرف أيضًا باسم السياسة المرتبطة بالقالب.

نوصي باستخدام قوالب السياسة لإنشاء سياسات تستند إلى Cedar يمكن مشاركتها في جميع أنحاء التطبيق الخاص بك. فعلى سبيل المثال، يمكنك إنشاء قالب سياسة خاص بمحرر يوفر أذونات القراءة والتعديل والتعليق للمستخدم الأساسي والمورد الذي يستخدم قالب السياسة. ويمكنك أيضًا استخدام قوالب السياسات في تحديد عناصر التحكم في الوصول التقريبية والمتوسطة والدقيقة لتطبيقاتك. فعلى سبيل المثال، يمكنك استخدام قوالب السياسات في تعيين مستخدمين محددين إلى مجموعة، وعناصر التحكم متوسطة الدقة في تعيين الوصول إلى موارد محددة، وعناصر التحكم الدقيقة بالسمات الأدق في الموارد.

عند استخدام واجهات برمجة تطبيقات الأذونات المُصدّقة، يمكنك إجراء استعلامات محددة بشأن السياسات المخزّنة في الأذونات المُصدّقة. ويمكنك الاستعلام عن السياسات الخاصة بك لتحديد السياسات السارية على مستخدمين أساسيين محددين أو موارد محددة أو كليهما.

يمكنك تكوين الأذونات المُصدّقة وربطها لإرسال سجلات التفويض وإدارة السياسة الخاصة بك إلى AWS CloudTrail.

يمكنك تمرير رمز المصادقة الخاص بك من Amazon Cognito إلى طلب تفويض مُقدم من خلال الأذونات المُصدّقة. ويتيح لك ذلك تمرير سمات مُزود الهويات مباشرةً إلى تقييم السياسة، ومن ثمّ قرار التفويض الناتج عن الأذونات المُصدّقة.

تتكامل الأذونات المُصدّقة مع CloudFormation، وهي خدمة تساعدك في تصميم موارد AWS وإعدادها لديك بحيث يمكنك قضاء وقت أقل في إنشاء الموارد والبنية التحتية الخاصين بك وإدارتهما. ويمكنك إنشاء قالب يوضح جميع موارد AWS التي تريدها، وتوفر خدمة CloudFormation هذه الموارد وتكوّنها نيابة عنك.

تتوفر مجموعة تطوير برمجيات الأذونات المُصدّقة باستخدام لغات C++‎، وGo، وJava، وJavaScript، وKotlin، و‎.NET، وNode.js، وPHP، وPython، وRuby، وRust، وSwift.

يمكّن المطورين من تأمين واجهات برمجة التطبيقات من خلال بوابة Amazon API باستخدام معالج البدء السريع (Quick Start) الذي يبسط تنفيذ التحكم في الوصول المستند إلى الأدوار (RBAC).

يسمح لمطوري تطبيقات الويب Express بتنفيذ التفويض على مستوى واجهة برمجة التطبيقات (API) بسرعة باستخدام أذونات Amazon المُصدّقة عن طريق إضافة الحد الأدنى من الأكواد إلى تطبيقاتهم الحالية.