Verified Permissions 简介
Amazon Verified Permissions 是一种完全托管的授权服务,使用 Cedar 策略语言,使您可以构建更安全的应用程序。借助 Verified Permissions,开发人员可以通过外部化授权和集中化策略管理来更快地构建应用程序。他们还可以使应用程序内的授权与零信任原则保持一致。安全和审计团队可以更好地分析和审计谁有权访问应用程序中的内容。
优势
将授权与应用程序逻辑分离
通过将授权与业务逻辑分离,加快应用程序开发。
开发者优先授权
通过实施符合现代开发工作流程的直观的、基于策略的访问控制来简化应用程序安全管理。借助对 Express 等常用开发框架的支持功能,开发人员能在几分钟内为应用程序实施精细授权,从而将更多时间投入到功能开发上。
保护应用程序资源
保护应用程序资源并按照最低权限原则管理用户访问权限。
简化应用程序和资源访问审计
使用自动化分析来确认使用 Cedar 编写的权限是否按预期执行,从而大规模简化合规性审计工作。
持续、实时的授权决策
构建符合持续实时授权决策的零信任原则的应用程序。
使用案例
定义精细授权模型
通过模板创建策略并在 Amazon API Gateway 和 AWS AppSync 内实施这些控制。
在应用程序内授予精细权限
管理员可以创建使用 Cedar 编写的应用程序级策略,而开发人员则可以授予用户访问数据和资源的权限。
跨应用程序审计权限
使用 Verified Permissions 审核 Cedar 策略模型的变化并监控授权请求。
客户评价
TELUS
TELUS Communications 是一家加拿大国家电信公司,提供互联网接入、语音、娱乐、视频和安全等广泛的电信产品和服务。TELUS 正在开发一种智能生活解决方案,该解决方案将利用云技术的最新进步提供跨联网设备上的自动化体验。TELUS 使用 Amazon Verified Permissions 来控制访问摄像头和门锁等智能家居设备的权限。例如,客户可以设定允许其邻居打开/关闭室外灯光,但不能解锁大门的权限。
我们不可能在使用 Amazon Verified Permissions 实现权限管理的相同时间内,为家庭自动化用例编写一个授权引擎,并使授权引擎可靠且经过测试。”
Edwin Voskamp,TELUS 杰出工程师
Grosvenor Engineering Group
Grosvenor Engineering Group 负责监管澳大利亚和新西兰 45,000 座建筑中 15 亿美元的资产组合,例如暖通空调、消防和电气系统。为确保高效和安全的运营,这家公司认识到需要一个强大的授权系统来管理建筑物内资产的访问权限。
关键要求之一是提供精细的出入控制,使技术人员只能进入特定建筑物或建筑物内的资产。这种方法增强了安全性,访问权限被限制在授权人员和资产,降低了潜在风险。他们决定使用 Amazon Verified Permissions 作为其授权系统,原因是这种系统增强了其安全状况,提供了灵活性并且可以扩展。
“使用 Cedar 和 Amazon Verified Permissions 来处理我们的用例,这有助于我们实现高性能,并为我们的应用程序带来了具有长期回报的灵活性和扩展性。由于 AVP 采用基于消费的定价模式,我们的转换成本很低。”
Con Tsalikis — Grosvenor Engineering Group 首席技术官
STEDI
Stedi 是一家医疗保健信息交换中心和电子数据交换 (EDI) 平台,医疗保健技术公司和老牌企业借此能够交换任务关键型事务,例如医疗保险索赔、资格检查等。Stedi 使用 Amazon API Gateway 来保护对事务处理端点的访问。API Gateway 调用 Amazon Verified Permissions 来评估用 Cedar 编写的授权策略。这些策略决定了允许给定用户访问哪些 API 端点。
“Stedi 使用 Amazon Verified Permissions,在紧迫的时间表内建立了细粒度的 RBAC 控制。通过批处理授权请求和缓存决策,我们每月能够经济高效地处理多达 7 亿次请求,而且延迟时间很短。”
Zack Kanter,Stedi 创始人兼首席执行官
Twilio
Twilio 是一种通信平台即服务,它为开发人员提供了跨渠道(如语音、文本、聊天、视频和电子邮件)在其应用程序中构建通信工作流的工具。Twilio Flex 是 Twilio 提供的数字互动产品,使公司能够在从销售到支持的整个生命周期中管理客户互动。例如,可以将 Flex 设置为联系中心,客户可以通过多种渠道(聊天、语音、电子邮件、短信)进行联系,并会被转接至具备处理其请求所需合适技能的座席。随着 Twilio Flex 自 2019 年发布以来不断发展,该团队需要实施复杂的授权,超越最初基于资源的基本权限模型,来处理更复杂的访问控制需求。他们评估了不同的授权方法,最终选择实施 Amazon Verified Permissions,以满足他们对精细权限的需求,同时保持高可用性。
“随着 Twilio Flex 的发展,我们需要一个可以与我们共同成长的授权系统。对于粗粒度访问权限,我们使用令牌根据角色授予对一组 API 的访问权限。然后,我们使用 Amazon Verified Permissions 来管理更精细的权限,表示为 Cedar 策略,这些策略决定了用户可以通过这些 API 访问的数据。使用 Cedar 使我们能够外部化授权逻辑,从而简化我们的代码库并改善我们的安全态势。Cedar 的表现力使我们能够制定满足客户独特需求的策略。AVP 的架构使我们能够将权限审计的集中控制与性能和可靠性的分布式决策相结合。”
Twilio 首席工程师 Peter Lavelle
FIS
FIS 是金融服务技术领域的全球领导者,管理着 50 万亿美元的年付款,并通过其行业领先的 FIS 保险风险套件(Prophet 解决方案)为全球前 50 名保险公司中的 80% 提供服务。FIS Prophet 团队拥有来自 80 个国家/地区的 10000 名用户,他们认识到需要一个强大的权限管理框架,以确保遵守萨班斯-奥克斯利法案等法规,同时为精算师、模型批准者和审计师提供精细的访问控制。
FIS 使用 Amazon Verified Permissions(AVP)为 Prophet 建立了全面的权限管理框架。该权限框架支持精细的访问控制,将基于角色的权限和基于属性的权限相结合,以增强安全性并实现合规性。
“借助 Amazon Verified Permissions(AVP)和 Cedar 策略语言,我们可以在外部定义权限并在一个集中位置管理所有策略。AVP 通过记录每项操作(操作执行者、执行时间)来提供清晰的审计跟踪记录,并安全地存储所有这些记录,以便在需要时进行审查。”
FIS 软件工程师 Ana Kosutic
