Amazon Verified Permissions

Amazon Verified Permissions ist ein vollständig verwalteter Autorisierungs-Service, der die Sprache für Cedar-Richtlinien verwendet, sodass Sie sicherere Anwendungen erstellen können. Mit geprüften Berechtigungen können Entwickler Anwendungen schneller entwickeln, indem sie die Autorisierung auslagern und die Richtlinienverwaltung zentralisieren. Sie können außerdem die Autorisierung innerhalb der Anwendung an den Zero-Trust-Prinzipien ausrichten. Sicherheits- und Prüfungsteams können besser analysieren und prüfen, wer innerhalb von Anwendungen auf was Zugriff hat.

TELUS Communications ist ein kanadisches Telekommunikationsunternehmen, das eine breite Palette von Telekommunikationsprodukten und -services anbietet, darunter Internetzugang, Sprachdienste, Unterhaltung, Video und Sicherheit. TELUS entwickelt eine Smart-Living-Lösung, die die neuesten Fortschritte in der Cloud-Technologie nutzt, um Automatisierungserfahrungen auf allen verbundenen Geräten zu schaffen. TELUS verwendet Amazon Verified Permissions, um Berechtigungen für Smart-Home-Geräte wie Kameras und Türschlösser zu kontrollieren. So kann ein Kunde beispielsweise Berechtigungen definieren, die es seinem Nachbarn erlauben, die Außenbeleuchtung ein- und auszuschalten, aber nicht die Haustür zu entriegeln.

Wir hätten auf keinen Fall in der Zeit, die wir für die Implementierung der Berechtigungsverwaltung mit Amazon Verified Permissions gebraucht haben, eine Autorisierungs-Engine für unsere Home-Automation-Anwendungsfälle schreiben und die Autorisierungs-Engine solide und getestet bekommen können.

Edwin Voskamp, Distinguished Engineer, TELUS

Die Grosvenor Engineering Group verwaltet ein Portfolio von 1,5 Milliarden Assets, wie etwa HLK-, Brandschutz- und elektrische Systeme, in 45 000 Gebäuden in Australien und Neuseeland. Um einen effizienten und sicheren Betrieb zu gewährleisten, erkannte das Unternehmen die Notwendigkeit eines robusten Autorisierungssystems, um den Zugriff auf die Assets innerhalb von Gebäuden zu verwalten.

Eine der entscheidenden Anforderungen bestand darin, eine granulare Zugriffskontrolle bereitzustellen, die es Technikern ermöglicht, nur auf bestimmte Gebäude oder Assets innerhalb eines Gebäudes zuzugreifen. Dieser Ansatz erhöht die Sicherheit, indem er den Zugriff auf autorisiertes Personal und Assets beschränkt und so potenzielle Risiken minimiert. Das Unternehmen entschied sich für Amazon Verified Permissions als Berechtigungssystem, da es die Sicherheit erhöht, Flexibilität bietet und skalierbar ist.

Die Verwendung von Cedar und Amazon Verified Permissions zur Lösung unserer Anwendungsfälle hat uns zu einer hohen Leistung verholfen und die Flexibilität und Skalierbarkeit gebracht, die sich langfristig für unsere Anwendung auszahlt. Unsere Wechselkosten waren aufgrund des verbrauchsbasierten Preismodells von AVP niedrig.

Con Tsalikis – CTO, Grosvenor Engineering Group

Stedi ist eine Clearingstelle für das Gesundheitswesen und eine EDI-Plattform (Electronic Data Interchange). Sie ermöglicht es Unternehmen der Gesundheitstechnologie und etablierten Akteuren, geschäftskritische Transaktionen wie Krankenversicherungsansprüche, Anspruchsprüfungen und vieles mehr auszutauschen. Stedi verwendet Amazon API Gateway, um den Zugriff auf Endpunkte zu schützen, die Transaktionen verarbeiten. Das API Gateway ruft Amazon Verified Permissions auf, um in Cedar geschriebene Autorisierungsrichtlinien auszuwerten. Diese Richtlinien legen fest, auf welche API-Endpunkte ein bestimmter Benutzer zugreifen darf.

„Stedi hat mithilfe von Amazon Verified Permissions innerhalb eines engen Zeitrahmens ein feinkörniges RBAC aufgebaut. Durch die Bündelung von Autorisierungsanfragen und die Zwischenspeicherung von Entscheidungen können wir bis zu 700 Millionen Anfragen pro Monat mit geringen Latenzzeiten kostengünstig verarbeiten.“

Zack Kanter – Gründer und CEO, Stedi

Twilio ist ein Service für Kommunikationsplattformen, der Entwicklern Tools zur Verfügung stellt, mit denen sie Workflows für die Kommunikation in ihre Anwendungen integrieren können, und zwar über verschiedene Kanäle wie Sprache, Text, Chat, Video und E-Mail. Twilio Flex, ein digitales Engagement-Produkt von Twilio, ermöglicht es Unternehmen, Kundeninteraktionen während ihres gesamten Lebenszyklus zu verwalten – vom Verkauf bis zum Support. In Flex kann beispielsweise ein Contact Center eingerichtet werden, in dem Kunden über mehrere Kanäle (Chat, Sprache, E-Mail, Text) Kontakt aufnehmen und an Agenten mit den richtigen Fähigkeiten zur Bearbeitung ihrer Anfragen weitergeleitet werden können. Im Zuge des Wachstums von Twilio Flex seit der Einführung im Jahr 2019 musste das Team eine ausgeklügelte Autorisierung implementieren, die über das ursprüngliche ressourcenbasierte Berechtigungsmodell hinausgeht, um komplexere Anforderungen an die Zugriffskontrolle zu erfüllen. Das Team evaluierte verschiedene Autorisierungsansätze und entschied sich schließlich für die Implementierung von Amazon Verified Permissions, um den Bedarf an granularen Berechtigungen zu decken und gleichzeitig eine hohe Verfügbarkeit zu gewährleisten.

„Im Zuge der Weiterentwicklung von Twilio Flex benötigten wir ein Autorisierungssystem, das mit uns wachsen konnte. Für den groben Zugriff verwenden wir ein Token, das den Zugriff auf eine Reihe von APIs basierend auf einer Rolle gewährt. Anschließend verwenden wir Amazon Verified Permissions, um detailliertere Berechtigungen zu verwalten, die als Cedar-Richtlinien ausgedrückt werden und die Daten bestimmen, auf die ein Benutzer über diese APIs zugreifen darf. Durch die Verwendung von Cedar können wir unsere Autorisierungslogik externalisieren, was unsere Codebasis vereinfacht und unsere Sicherheitslage verbessert. Die Ausdruckskraft von Cedar ermöglicht es uns, Richtlinien zu schreiben, die den individuellen Bedürfnissen unserer Kunden entsprechen. Die Architektur von AVP ermöglicht es uns, eine zentralisierte Steuerung für die Prüfung von Berechtigungen mit einer verteilten Entscheidungsfindung für Leistung und Zuverlässigkeit zu kombinieren.“

Peter Lavelle – Principal Engineer, Twilio

FIS ist ein weltweit führender Anbieter von Finanzdienstleistungstechnologie, verwaltet jährliche Zahlungen in Höhe von 50 Billionen US-Dollar und bedient 80 % der 50 weltweit führenden Versicherer mit seiner branchenführenden FIS Insurance Risk Suite - Prophet-Lösung. Das FIS-Prophet-Team mit 10 000 Benutzern in 80 Ländern erkannte die Notwendigkeit eines robusten Berechtigungsmanagement-Frameworks, um die Einhaltung von Vorschriften wie dem Sarbanes-Oxley-Gesetz zu gewährleisten und gleichzeitig eine granulare Zugriffskontrolle für Versicherungsmathematiker, Modellgenehmiger und Prüfer zu ermöglichen.

FIS hat ein umfassendes Berechtigungsmanagement-Framework für Prophet erstellt, das Amazon Verified Permissions (AVP) verwendet. Dieses Berechtigungs-Framework ermöglicht eine feinkörnige Zugriffssteuerung, indem es sowohl rollenbasierte als auch attributbasierte Berechtigungen kombiniert, um die Sicherheit zu erhöhen und die Einhaltung von Vorschriften zu ermöglichen.

Mit Amazon Verified Permissions (AVP) und der Cedar-Richtliniensprache können wir Berechtigungen extern definieren und alle Richtlinien an einem zentralen Ort verwalten. AVP bietet einen klaren Audit Trail, indem jede Aktion protokolliert wird – wer sie wann durchgeführt hat – und speichert alle diese Aufzeichnungen sicher zur Überprüfung, wann immer sie benötigt werden.

Ana Kosutic – Software Engineer, FIS