Amazon Verified Permissions 常见问题

问:什么是 Amazon Verified Permissions?

Amazon Verified Permissions 是一项新服务,可帮助您在您构建和部署的应用程序(例如,HR 系统和银行应用程序)内实施和执行对资源的细粒度授权。通过 Amazon Verified Permissions,您可以执行以下任务:

  1. 定义一个基于策略的访问模型,该模型描述您的应用程序所管理的资源以及用户可以对这些资源执行的操作(例如,查看、更新和共享)。
  2. 让应用程序用户可以管理对这些资源的访问。该应用程序为专业人员创建查看和更新记录的权限,然后将其存储到 Amazon Verified Permissions 中。
  3. 执行这些权限。

问:我为什么要使用 Amazon Verified Permissions?

将 Amazon Verified Permissions 与您的身份提供程序(如 Amazon Cognito)结合使用,可为您的应用程序提供更加动态、基于策略的访问管理解决方案。您可以构建应用程序来帮助最终用户共享信息和协作,同时维护其数据的安全性、保密性和隐私性。Amazon Verified Permissions 可帮助您更快地构建应用程序。它为您提供细粒度的授权系统,根据您身份和资源的角色和属性来执行访问,从而有助于降低运营成本。您可以定义策略模型,在一个中央位置创建和存储策略,并在几毫秒内评估访问请求。作为策略引擎,Amazon Verified Permissions 可以帮助您的应用程序根据零信任的要求实时验证用户操作。它还会突出显示无效和过度授权的权限。Amazon Verified Permissions 支持监管与合规性要求。它提供审核工具来配置、维护和分析跨多个不同应用程序的权限,以帮助回答问题,例如“谁有权访问什么”。

问:如何开始使用?

在 AWS 管理控制台中,访问“安全性、身份与合规性”下的 Amazon Verified Permissions。通过使用向导来简化您第一个应用程序的设置,该向导会引导您完成定义应用程序的权限模型和创建权限的过程。然后,您可以使用服务 API 或控制台来评估访问请求。

问:Amazon Verified Permissions 如何与其他 AWS 服务配合使用?

Amazon Verified Permissions 与 Amazon Cognito 和其他身份提供程序相结合,为您提供针对消费者应用程序的动态访问管理解决方案。应用程序开发人员可以使用 Amazon Cognito 来管理用户身份并在登录时对用户进行身份验证。然后,Amazon Verified Permissions 可以确定允许经过身份验证的用户访问哪些应用程序资源。您还可以将该服务与 AWS IAM Identity Center 一起用于劳动力应用程序。

问:为什么我需要自定义应用程序的细粒度权限以及 Amazon Verified Permissions 如何支持它们?

您需要在应用程序中设置细粒度权限,以将用户的访问限制在最低权限,这也是零信任架构的要求。基于策略的中央授权系统为开发人员提供了一种一致的方式来定义和管理跨应用程序的细粒度权限,简化了权限规则的更改(无需更改代码),并通过将权限移出代码来提高权限的可见性。

问:如何为我的用户、资源和操作定义基于 Amazon Verified Permissions 策略的访问模型?

您可以创建一个基于策略的访问模型来描述您的应用程序所管理的资源以及可以对这些资源执行的操作。这些资源可以包括非人类身份,例如设备或系统进程。您可以通过控制台、API 或命令行界面 (CLI) 创建模型。

问:Amazon Verified Permissions 是否可以和 Amazon Cognito 以外的身份提供程序一起使用?

是的,Amazon Verified Permissions 可以和任何身份提供程序一起使用,如 Okta、Ping Identity 和 CyberArk。

问:我如何来定义权限?

您可以通过 Cedar 策略语言定义权限。Cedar 策略是确定用户是否可以对资源执行操作的允许或禁止语句。策略与资源相关联。您可以将多个策略附加到一个资源。禁止策略优先于允许策略。这有助于您在应用程序中建立防护机制以防止访问,而不考虑可能存在的允许策略。

问:什么是 Cedar?

Cedar 是一种灵活、可扩展和可升级的策略语言,可帮助开发人员将应用程序权限表达为策略。管理员和开发人员可以定义允许或禁止用户对应用程序资源进行操作的策略。可以将多个策略附加到单个资源。当您的应用程序的用户尝试对资源执行操作时,您的应用程序会向 Cedar 策略引擎发出授权请求。Cedar 评估适用的策略并返回 ALLOW 或 DENY 决策。Cedar 支持任何类型的主体和资源的授权规则,允许基于角色和属性的访问控制,并支持通过自动推理工具进行分析。

问:我的应用程序如何评估用户的访问请求?

当您的应用程序的用户尝试对资源执行操作时,您的应用程序可以通过授权请求调用 Amazon Verified Permissions API。Amazon Verified Permissions 根据相关策略检查请求,并根据评估结果返回 ALLOW 或 DENY 决策。根据此结果,您的应用程序可以允许或禁止用户执行操作。

问:如何将我的应用程序与 Amazon Verified Permissions 集成以创建和评估 Amazon Verified Permissions 策略?

在您的应用程序中使用 Amazon Verified Permissions API 来创建策略、更新策略、将策略附加到资源以及授权用户访问请求。当用户尝试对资源执行操作时,您的应用程序将构建一个请求。此请求将包含有关用户、操作和资源的信息,并将其传递给 Amazon Verified Permissions。该服务将评估请求并返回 ALLOW 或 DENY 决策。然后,您的应用程序负责执行该决策。

Q:如何确认在 Amazon Verified Permissions 中创建的权限是否正确?

Amazon Verified Permissions 会根据权限模型验证您创建的策略并拒绝任何无效的策略。例如,如果策略中描述的操作对资源类型无效,则您的应用程序将无法创建该策略。Amazon Verified Permissions 可帮助您验证政策的完整性和正确性。该服务还可以帮助您识别直接相互矛盾的策略、不允许任何用户访问的资源或具有过度访问权限的用户。该服务使用一种称为“自动推理”的数学分析机制,可以跨多个应用程序分析数百万条策略。

问:Amazon Verified Permissions 如何帮助我满足合规和审核要求?

Amazon Verified Permissions 可帮助您确定谁有权访问什么,以及谁可以查看和修改权限。它确认只有经授权的用户才能修改应用程序的权限,并且对更改进行全面审核。审核员可以了解谁进行了更改以及进行这些更改的时间。

问:我可以使用 IAM policy 语言在 Amazon Verified Permissions 中创建策略吗?

不可以。必须使用 Cedar 策略语言来编写策略。它旨在支持客户应用程序资源的权限管理,而 IAM policy 语言是支持 AWS 资源的访问控制。