أذونات Amazon المُصدّقة هي خدمة قابلة للتوسع لمنح التفويض وإدارة الأذونات الدقيقة في التطبيقات التي تنشئها. وعند استخدام هذه الخدمة، يمكن للمطورين إنشاء تطبيقات أكثر أمانًا بشكل أسرع من خلال الإعلان عن التفويض والتركيز على الإدارة وإدارة السياسة. ويمكن للمطورين مواءمة وصولهم إلى التطبيقات مع مبادئ انعدام الثقة من خلال تنفيذ الامتيازات الأقل والتحقق المستمر داخل التطبيقات. يمكن لفِرق الأمن والتدقيق ممن لديهم حق الوصول إلى الميزات داخل التطبيقات التحليل والتدقيق بشكل أفضل. تستخدم الأذونات المُصدّقة لغة Cedar، وهي لغة سياسة مفتوحة المصدر ومصممة خصيصًا لتحقيق الأمان أولاً، في تحديد عناصر التحكم في الوصول القائم على السياسة باستخدام الأدوار والسمات من أجل التحكم في الوصول بشكل أدق ومناسب للسياق.

تحديد نموذج التفويض الخاص بك

المخطط

يمكنك تحديد مخططك من حيث كل نوع كيان، ويشمل السمات المتعلقة بنموذج التفويض ومجموعات الأنواع الأساسية الصالحة وأنواع الموارد والإجراءات. وتستخدم الأذونات المُصدّقة المخطط في التحقق من توافق السياسات الثابتة أو قوالب السياسات مع نموذج التفويض في التطبيق. يمكنك استخدام تنسيق JSON في تحديد مخطط في الأذونات المُصدّقة؛ فهو يشبه إلى حد ما مخطط JSON ولكنه يستخدم جوانب فريدة من لغة سياسة Cedar. يمكنك تحديد مجموعات من الإجراءات في مخططك وهي سياسات تسمح أو تمنع اتخاذ مجموعات من الإجراءات.

طلبات التفويض

يمكنك ربط تطبيقك بالخدمة من خلال واجهة برمجة التطبيقات لتفويض طلبات وصول المستخدمين. ولكل طلبات التفويض، ستسترد الخدمة السياسات المناسبة وتقيّم هذه السياسات لتحديد إذا كان مسموحًا للمستخدم باتخاذ إجراء بمورد محدد في سياق معين، مثل المستخدمين والأدوار وعضوية المجموعة والسمات.

إدارة السياسات والتحقق منها

مخزن السياسات

مخزن السياسات عبارة عن حاوية للسياسات في الأذونات المُصدّقة التي عُزلت منطقيًا عن الحاويات الأخرى. ويمكنك إنشاء كل العلاقات والتكوينات الهرمية في مخزن سياسة واحد لتمييز السياسات وقوالب السياسات عن مخازن السياسات الأخرى. تتعين مخازن السياسات عمومًا إلى كل تطبيق وتتيح لك إنشاء تكوينات وقواعد مخططات مختلفة عبر مستأجرين متعددين بدون المشاركة أو الاتصال بينهم. فعلى سبيل المثال، يمكن أن يتوفر لديك مخزن سياسات منفصل لكل مستأجر يستخدم تطبيق الأذونات المُصدّقة؛ حيث يمكنك حذف مخزن سياسات تابع لأحد المستأجرين بدون التأثير على الموارد والمخططات والسياسات وقوالب السياسات في أي مخزن سياسات آخر.

ميزة أداة الاختبار

ميزة أداة الاختبار هي أداة تُستخدم لاختبار سياسات الأذونات المُصدّقة واستكشاف أخطائها وإصلاحها من خلال تقديم طلب تفويض مُحاكى خاص بجميع السياسات الموجودة في مخزن السياسات الخاص بك. وتستخدم أداة الاختبار المعلمات التي تختارها لتحديد ما إذا كانت السياسات في مخزن السياسات الخاص بك ستوافق على الطلب أم لا.

قوالب السياسات

يمكنك استخدام قالب سياسة، وهو بيان سياسة يحتوي على عناصر نائبة في النطاق مطلوب ملؤها بقيم محددة. ويمكن أن يحتوي قالب السياسة على عناصر نائبة خاصة بالمستخدم الأساسي أو المورد أو كليهما. تنعكس تحديثات قالب السياسة على جميع المستخدمين الأساسيين والموارد التي تستخدم القالب، ويُعرف أيضًا باسم السياسة المرتبطة بالقالب.

نوصي باستخدام قوالب السياسات في وضع سياسات يمكن مشاركتها في تطبيقك. فعلى سبيل المثال، يمكنك إنشاء قالب سياسة خاص بمحرر يوفر أذونات القراءة والتعديل والتعليق للمستخدم الأساسي والمورد الذي يستخدم قالب السياسة. ويمكنك أيضًا استخدام قوالب السياسات في تحديد عناصر التحكم في الوصول التقريبية والمتوسطة والدقيقة لتطبيقاتك. فعلى سبيل المثال، يمكنك استخدام قوالب السياسات في تعيين مستخدمين محددين إلى مجموعة، وعناصر التحكم متوسطة الدقة في تعيين الوصول إلى موارد محددة، وعناصر التحكم الدقيقة بالسمات الأدق في الموارد.

التدقيق والاستعلام عن السياسات

الاستعلام عن السياسات

عند استخدام واجهات برمجة تطبيقات الأذونات المُصدّقة، يمكنك إجراء استعلامات محددة بشأن السياسات المخزّنة في الأذونات المُصدّقة. ويمكنك الاستعلام عن السياسات الخاصة بك لتحديد السياسات السارية على مستخدمين أساسيين محددين أو موارد محددة أو كليهما.

التدقيق والتسجيل

يمكنك تكوين الأذونات المُصدّقة وربطها لإرسال سجلات التفويض وإدارة السياسة الخاصة بك إلى AWS CloudTrail.

عمليات التكامل والقابلية للتوسعة

التكامل مع Amazon Cognito

يمكنك تمرير رمز المصادقة الخاص بك من Amazon Cognito إلى طلب تفويض مُقدم من خلال الأذونات المُصدّقة. ويتيح لك ذلك تمرير سمات مُزود الهويات مباشرةً إلى تقييم السياسة، ومن ثمّ قرار التفويض الناتج عن الأذونات المُصدّقة.

التكامل مع AWS CloudFormation

تتكامل الأذونات المُصدّقة مع CloudFormation، وهي خدمة تساعدك في تصميم موارد AWS وإعدادها لديك بحيث يمكنك قضاء وقت أقل في إنشاء الموارد والبنية التحتية الخاصين بك وإدارتهما. ويمكنك إنشاء قالب يوضح جميع موارد AWS التي تريدها، وتوفر خدمة CloudFormation هذه الموارد وتكوّنها نيابة عنك.

القابلية للتوسعة

تتوفر مجموعة تطوير برمجيات الأذونات المُصدّقة باستخدام لغات C++‎، وGo، وJava، وJavaScript، وKotlin، و‎.NET، وNode.js، وPHP، وPython، وRuby، وRust، وSwift.