Amazon Verified Permissions
Vollständig verwalteter Cedar-Service für eine detaillierte Autorisierung
Einführung in Verified Permissions
Amazon Verified Permissions ist ein vollständig verwalteter Autorisierungs-Service, der die Sprache für Cedar-Richtlinien verwendet, sodass Sie sicherere Anwendungen erstellen können. Mit geprüften Berechtigungen können Entwickler Anwendungen schneller entwickeln, indem sie die Autorisierung auslagern und die Richtlinienverwaltung zentralisieren. Sie können außerdem die Autorisierung innerhalb der Anwendung an den Zero-Trust-Prinzipien ausrichten. Sicherheits- und Prüfungsteams können besser analysieren und prüfen, wer innerhalb von Anwendungen auf was Zugriff hat.
Vorteile
Entkopplung der Autorisierung von der Anwendungslogik
Beschleunigen Sie die Anwendungsentwicklung, indem Sie die Autorisierung von der Geschäftslogik entkoppeln.
Developer-First-Autorisierung
Optimieren Sie die Anwendungssicherheit, indem Sie intuitive, richtlinienbasierte Zugriffskontrollen implementieren, die sich an modernen Entwicklungsabläufen orientieren. Durch die Unterstützung gängiger Entwicklungs-Frameworks wie Express können Entwickler innerhalb von Minuten eine granulare Autorisierung für ihre Anwendungen implementieren, sodass mehr Zeit bleibt, sich auf die Erstellung von Funktionen zu konzentrieren.
Schutz Ihrer Anwendungsressourcen
Schützen Sie Anwendungsressourcen und verwalten Sie den Benutzerzugriff nach dem Prinzip der geringsten Rechte.
Vereinfachung von Audits von Anwendungs- und Ressourcenzugriffen
Vereinfachen Sie Compliance-Prüfungen im großen Maßstab durch automatisierte Analysen, um zu bestätigen, dass in Cedar geschriebene Berechtigungen wie vorgesehen funktionieren.
Kontinuierliche Autorisierungsentscheidungen in Echtzeit
Entwickeln Sie Anwendungen, die sich an den Zero-Trust-Prinzipien kontinuierlicher Autorisierungsentscheidungen in Echtzeit orientieren.
Anwendungsfälle
Definieren eines granularen Autorisierungsmodells
Erstellen Sie Richtlinien aus Vorlagen und setzen Sie diese Kontrollen in Amazon API Gateway und AWS AppSync durch.
Erteilen granularer Berechtigungen innerhalb von Anwendungen
Administratoren können in Cedar geschriebene anwendungsweite Richtlinien erstellen und Entwickler können Benutzerberechtigungen für den Zugriff auf Daten und Ressourcen erteilen.
Prüfen von Berechtigungen über mehrere Anwendungen hinweg
Überprüfen Sie Änderungen am Modell der Cedar-Richtlinie und überwachen Sie Autorisierungsanfragen mithilfe von Verified Permissions.
Kundenempfehlungen
TELUS
TELUS Communications ist ein kanadisches Telekommunikationsunternehmen, das eine breite Palette von Telekommunikationsprodukten und -services anbietet, darunter Internetzugang, Sprachdienste, Unterhaltung, Video und Sicherheit. TELUS entwickelt eine Smart-Living-Lösung, die die neuesten Fortschritte in der Cloud-Technologie nutzt, um Automatisierungserfahrungen auf allen verbundenen Geräten zu schaffen. TELUS verwendet Amazon Verified Permissions, um Berechtigungen für Smart-Home-Geräte wie Kameras und Türschlösser zu kontrollieren. So kann ein Kunde beispielsweise Berechtigungen definieren, die es seinem Nachbarn erlauben, die Außenbeleuchtung ein- und auszuschalten, aber nicht die Haustür zu entriegeln.
Wir hätten auf keinen Fall in der Zeit, die wir für die Implementierung der Berechtigungsverwaltung mit Amazon Verified Permissions gebraucht haben, eine Autorisierungs-Engine für unsere Home-Automation-Anwendungsfälle schreiben und die Autorisierungs-Engine solide und getestet bekommen können.
Edwin Voskamp, Distinguished Engineer, TELUS

Grosvenor Engineering Group
Die Grosvenor Engineering Group verwaltet ein Portfolio von 1,5 Milliarden Assets, wie etwa HLK-, Brandschutz- und elektrische Systeme, in 45 000 Gebäuden in Australien und Neuseeland. Um einen effizienten und sicheren Betrieb zu gewährleisten, erkannte das Unternehmen die Notwendigkeit eines robusten Autorisierungssystems, um den Zugriff auf die Assets innerhalb von Gebäuden zu verwalten.
Eine der entscheidenden Anforderungen bestand darin, eine granulare Zugriffskontrolle bereitzustellen, die es Technikern ermöglicht, nur auf bestimmte Gebäude oder Assets innerhalb eines Gebäudes zuzugreifen. Dieser Ansatz erhöht die Sicherheit, indem er den Zugriff auf autorisiertes Personal und Assets beschränkt und so potenzielle Risiken minimiert. Das Unternehmen entschied sich für Amazon Verified Permissions als Berechtigungssystem, da es die Sicherheit erhöht, Flexibilität bietet und skalierbar ist.
Die Verwendung von Cedar und Amazon Verified Permissions zur Lösung unserer Anwendungsfälle hat uns zu einer hohen Leistung verholfen und die Flexibilität und Skalierbarkeit gebracht, die sich langfristig für unsere Anwendung auszahlt. Unsere Wechselkosten waren aufgrund des verbrauchsbasierten Preismodells von AVP niedrig.
Con Tsalikis – CTO, Grosvenor Engineering Group

STEDI
Stedi ist eine Clearingstelle für das Gesundheitswesen und eine EDI-Plattform (Electronic Data Interchange). Sie ermöglicht es Unternehmen der Gesundheitstechnologie und etablierten Akteuren, geschäftskritische Transaktionen wie Krankenversicherungsansprüche, Anspruchsprüfungen und vieles mehr auszutauschen. Stedi verwendet Amazon API Gateway, um den Zugriff auf Endpunkte zu schützen, die Transaktionen verarbeiten. Das API Gateway ruft Amazon Verified Permissions auf, um in Cedar geschriebene Autorisierungsrichtlinien auszuwerten. Diese Richtlinien legen fest, auf welche API-Endpunkte ein bestimmter Benutzer zugreifen darf.
„Stedi hat mithilfe von Amazon Verified Permissions innerhalb eines engen Zeitrahmens ein feinkörniges RBAC aufgebaut. Durch die Bündelung von Autorisierungsanfragen und die Zwischenspeicherung von Entscheidungen können wir bis zu 700 Millionen Anfragen pro Monat mit geringen Latenzzeiten kostengünstig verarbeiten.“
Zack Kanter – Gründer und CEO, Stedi

Twilio
Twilio ist ein Service für Kommunikationsplattformen, der Entwicklern Tools zur Verfügung stellt, mit denen sie Workflows für die Kommunikation in ihre Anwendungen integrieren können, und zwar über verschiedene Kanäle wie Sprache, Text, Chat, Video und E-Mail. Twilio Flex, ein digitales Engagement-Produkt von Twilio, ermöglicht es Unternehmen, Kundeninteraktionen während ihres gesamten Lebenszyklus zu verwalten – vom Verkauf bis zum Support. In Flex kann beispielsweise ein Contact Center eingerichtet werden, in dem Kunden über mehrere Kanäle (Chat, Sprache, E-Mail, Text) Kontakt aufnehmen und an Agenten mit den richtigen Fähigkeiten zur Bearbeitung ihrer Anfragen weitergeleitet werden können. Im Zuge des Wachstums von Twilio Flex seit der Einführung im Jahr 2019 musste das Team eine ausgeklügelte Autorisierung implementieren, die über das ursprüngliche ressourcenbasierte Berechtigungsmodell hinausgeht, um komplexere Anforderungen an die Zugriffskontrolle zu erfüllen. Das Team evaluierte verschiedene Autorisierungsansätze und entschied sich schließlich für die Implementierung von Amazon Verified Permissions, um den Bedarf an granularen Berechtigungen zu decken und gleichzeitig eine hohe Verfügbarkeit zu gewährleisten.
„Im Zuge der Weiterentwicklung von Twilio Flex benötigten wir ein Autorisierungssystem, das mit uns wachsen konnte. Für den groben Zugriff verwenden wir ein Token, das den Zugriff auf eine Reihe von APIs basierend auf einer Rolle gewährt. Anschließend verwenden wir Amazon Verified Permissions, um detailliertere Berechtigungen zu verwalten, die als Cedar-Richtlinien ausgedrückt werden und die Daten bestimmen, auf die ein Benutzer über diese APIs zugreifen darf. Durch die Verwendung von Cedar können wir unsere Autorisierungslogik externalisieren, was unsere Codebasis vereinfacht und unsere Sicherheitslage verbessert. Die Ausdruckskraft von Cedar ermöglicht es uns, Richtlinien zu schreiben, die den individuellen Bedürfnissen unserer Kunden entsprechen. Die Architektur von AVP ermöglicht es uns, eine zentralisierte Steuerung für die Prüfung von Berechtigungen mit einer verteilten Entscheidungsfindung für Leistung und Zuverlässigkeit zu kombinieren.“
Peter Lavelle – Principal Engineer, Twilio

FIS
FIS ist ein weltweit führender Anbieter von Finanzdienstleistungstechnologie, verwaltet jährliche Zahlungen in Höhe von 50 Billionen US-Dollar und bedient 80 % der 50 weltweit führenden Versicherer mit seiner branchenführenden FIS Insurance Risk Suite - Prophet-Lösung. Das FIS-Prophet-Team mit 10 000 Benutzern in 80 Ländern erkannte die Notwendigkeit eines robusten Berechtigungsmanagement-Frameworks, um die Einhaltung von Vorschriften wie dem Sarbanes-Oxley-Gesetz zu gewährleisten und gleichzeitig eine granulare Zugriffskontrolle für Versicherungsmathematiker, Modellgenehmiger und Prüfer zu ermöglichen.
FIS hat ein umfassendes Berechtigungsmanagement-Framework für Prophet erstellt, das Amazon Verified Permissions (AVP) verwendet. Dieses Berechtigungs-Framework ermöglicht eine feinkörnige Zugriffssteuerung, indem es sowohl rollenbasierte als auch attributbasierte Berechtigungen kombiniert, um die Sicherheit zu erhöhen und die Einhaltung von Vorschriften zu ermöglichen.
Mit Amazon Verified Permissions (AVP) und der Cedar-Richtliniensprache können wir Berechtigungen extern definieren und alle Richtlinien an einem zentralen Ort verwalten. AVP bietet einen klaren Audit Trail, indem jede Aktion protokolliert wird – wer sie wann durchgeführt hat – und speichert alle diese Aufzeichnungen sicher zur Überprüfung, wann immer sie benötigt werden.
Ana Kosutic – Software Engineer, FIS
