F: Was ist Amazon Verified Permissions?
Amazon Verified Permissions ist ein neuer Service, der Ihnen beim Implementieren und Durchsetzen der differenzierten Autorisierung von Ressourcen in den Anwendungen hilft, die Sie erstellen und bereitstellen, wie etwa HR-Systemen und Bankanwendungen. Mit Amazon Verified Permissions können Sie die folgenden Aufgaben durchführen:
- Definieren eines richtlinienbasierten Zugriffsmodells, das die von Ihrer Anwendung verwalteten Ressourcen und Aktionen beschreibt (wie etwa Anzeigen, Aktualisieren und Teilen), die Benutzer an diesen Ressourcen durchführen können.
- Stellen Sie Anwendungsbenutzern die Fähigkeit zur Verfügung, diese Ressourcen zu verwalten. Die Anwendung erstellt eine Berechtigung für den Experten zum Anzeigen und Aktualisieren der Datensätze und speichert sie dann in Amazon Verified Permissions.
- Setzen Sie diese Berechtigungen durch.
F: Vorteile von Amazon Verified Permissions
Verwenden Sie Amazon Verified Permissions zusammen mit Ihrem Identitätsanbieter wie Amazon Cognito für eine dynamischere, richtlinienbasierte Zugriffsverwaltungslösung für Ihre Anwendung. Sie können Anwendungen erstellen, die Endbenutzern helfen, Informationen freizugeben und zusammenzuarbeiten, während sie gleichzeitig die Sicherheit, Vertraulichkeit und den Datenschutz ihrer Daten aufrechterhalten. Amazon Verified Permissions hilft Ihnen Anwendungen schneller zu erstellen. Außerdem hilft es bei der Senkung der Betriebskosten durch Bereitstellen eines differenzierten Autorisierungssystems zur Durchsetzung des Zugriffs auf Grundlage von Rollen und Attributen Ihrer Identitäten und Ressourcen. Sie können Ihr Richtlinienmodell definieren, Richtlinien erstellen und an einem zentralen Speicherort aufbewahren und Zugriffsanfragen in Millisekunden auswerten. Als Richtlinien-Engine kann Amazon Verified Permissions Ihrer Anwendung helfen, Benutzeraktionen in Echtzeit zu verifizieren, wie es für Zero Trust erforderlich ist. Außerdem hebt es ungültige oder zu hohe Berechtigungen hervor. Amazon Verified Permissions unterstützt Governance und Compliance. Es bietet Tools zum Konfigurieren, Verwalten und Analysieren von Berechtigungen über mehrere verschiedene Anwendungen hinweg, um Fragen leichter beantworten zu können, etwa wer worauf Zugriff hat.
F: Was sind die ersten Schritte?
Greifen Sie in der AWS-Managementkonsole unter „Sicherheit, Identität und Compliance“ auf Verified Permissions zu. Vereinfachen Sie die Einrichtung Ihrer ersten Anwendung, indem Sie den Assistenten verwenden, der Sie während der Definition des Berechtigungsmodells der Anwendung und der Erstellung von Berechtigungen begleitet. Sie können dann die Service-API oder -Konsole verwenden, um Zugriffsanfragen auszuwerten.
F: Wie funktioniert Amazon Verified Permissions in Verbindung mit anderen AWS-Services?
Amazon Verified Permissions bietet Ihnen in Verbindung mit Amazon Cognito und anderen Identitätsanbietern eine Lösung für dynamische Zugriffsverwaltung für Verbraucheranwendungen. Anwendungsentwickler können Amazon Cognito zum Verwalten von Benutzeridentitäten und Authentifizieren von Benutzern bei der Anmeldung verwenden. Amazon Verified Permissions kann dann feststellen, auf welche Anwendungsressourcen ein authentifizierter Benutzer zugreifen darf. Sie können auch den Service mit AWS IAM Identity Center für Workforce-Anwendungen verwenden.
F: Warum benötige ich differenzierte Berechtigungen für benutzerdefinierte Anwendungen und wie unterstützt Amazon Verified Permissions diese?
Sie benötigen differenzierte Berechtigungen für Ihre Anwendungen, um den Benutzerzugriff auf die geringste Berechtigung einzuschränken, wie für eine Zero Trust-Architektur erforderlich. Ein zentrales richtlinienbasiertes Autorisierungssystem bietet Entwicklern eine konsistente Möglichkeit zum anwendungsübergreifenden Definieren und Verwalten differenzierter Berechtigungen, vereinfacht das Ändern von Berechtigungsregeln, ohne Code ändern zu müssen, und verbessert die Transparenz von Berechtigungen, indem sie an einen Ort außerhalb des Codes verschoben werden.
F: Wie definiere ich ein richtlinienbasiertes Amazon Verified Permissions-Zugriffsmodell für meine Benutzer, Ressourcen und Aktionen?
Sie können ein richtlinienbasiertes Zugriffsmodell erstellen, das Ihre von der Anwendung verwalteten Ressourcen beschreibt und die Aktionen, die an diesen Ressourcen vorgenommen werden können. Diese Ressourcen können nichtmenschliche Identitäten beinhalten, wie etwa Geräte oder Systemprozesse. Sie können Ihr Modell über die Konsole, eine API oder eine Befehlszeilenschnittstelle (CLI) erstellen.
F: Ist Amazon Verified Permissions zu anderen Identitätsanbietern als Amazon Cognito kompatibel?
Ja, Amazon Verified Permissions kann mit Identitäten von einem beliebigen Anbieter verwendet werden, wie etwa Okta, Ping Identity und CyberArk.
F: Wie definiere ich Berechtigungen?
Sie können Berechtigungen über die Cedar-Richtliniensprache definieren. Cedar-Richtlinien sind Berechtigungs- oder Verbotsanweisungen, die bestimmen, ob ein Benutzer Aktionen an einer Ressource durchführen darf. Richtlinien sind Ressourcen zugeordnet. Sie können einer Ressource mehrere Richtlinien anfügen. Verbotsrichtlinien setzen Berechtigungsrichtlinien außer Kraft. Dies hilft bei der Einführung von Leitplanken in Ihrer Anwendung, die Zugriffe verhindern, egal welche Berechtigungsrichtlinien möglicherweise in Kraft sind.
F: Was ist Cedar?
Cedar ist eine flexible, erweiterbare und skalierbare Richtliniensprache, die Entwicklern hilft, Anwendungsberechtigungen als Richtlinien auszudrücken. Administratoren und Entwickler können Richtlinien definieren, die Benutzern Aktionen an Anwendungsressourcen erlauben oder verbieten. Einer einzelnen Ressource können mehrere Richtlinien zugewiesen sein. Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, stellt Ihre Anwendung eine Autorisierungsanfrage an die Cedar-Richtlinien-Engine. Cedar wertet die geltenden Richtlinien aus und gibt die Entscheidung ALLOW oder DENY zurück. Cedar unterstützt Autorisierungsregeln für jeden Prinzipal- und Ressourcentyp, erlaubt rollen- und attributbasierte Zugriffssteuerung und unterstützt die Analyse über automatisierte Reasoning-Tools.
F: Wie kann meine Anwendung Zugriffsanfragen von Benutzern auswerten?
Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, kann Ihre Anwendung die Amazon Verified Permissions-API mit einer Autorisierungsanfrage aufrufen. Amazon Verified Permissions überprüft die Anfrage anhand der relevanten Richtlinien und gibt die Entscheidung ALLOW oder DENY auf Grundlage des Ergebnisses der Bewertung zurück. Basierend auf diesem Ergebnis kann die Anwendung erlauben, dass der Benutzer die Aktion durchführt, oder sie verbieten.
F: Wie integriere ich meine Anwendung in Amazon Verified Permissions, um Amazon Verified Permissions-Richtlinien zu erstellen und auszuwerten?
Verwenden Sie Amazon Verified Permissions-APIs in Ihrer Anwendung, um Richtlinien zu erstellen, Richtlinien zu aktualisieren, Richtlinien an Ressourcen anzufügen und Zugriffsanfragen von Benutzern zu autorisieren. Wenn ein Benutzer eine Aktion an einer Ressource versucht, erstellt die Anwendung eine Anfrage. Diese Anfrage wird Informationen über den Benutzer, die Aktion und die Ressource enthalten und wird an Amazon Verified Permissions weitergeleitet. Der Service wertet die Anfrage aus und antwortet mit der Entscheidung ALLOW oder DENY. Die Anwendung ist dann für die Durchsetzung dieser Entscheidung verantwortlich.
F: Wie überprüfe ich, dass die in Amazon Verified Permissions erstellten Berechtigungen korrekt sind?
Amazon Verified Permissions überprüft Richtlinien, die Sie anhand des Berechtigungsmodells erstellen, und lehnt alle ungültigen Richtlinien ab. Beispiel: Falls in der Richtlinie beschriebene Aktionen für den Typ der Ressource ungültig sind, wird verhindert, dass die Anwendung die Richtlinie erstellt. Amazon Verified Permissions hilft bei der Überprüfung der Vollständigkeit und Richtigkeit Ihrer Richtlinien. Der Service hilft zudem beim Erkennen von Richtlinien, die einander direkt widersprechen, von Ressourcen, die kein Benutzer aufrufen darf, oder von Benutzern mit zu hohen Zugriffsrechten. Der Service verwendet eine mathematische Analyse mit der Bezeichnung Automated Reasoning, die Millionen von Richtlinien über mehrere Anwendungen hinweg analysieren kann.
F: Wie hilft mir Amazon Verified Permissions bei Compliance und Audit?
Amazon Verified Permissions hilft Ihnen beim Festlegen, wer worauf Zugriff hat und wer Berechtigungen anzeigen und bearbeiten kann. Es überprüft, dass nur autorisierte Benutzer die Berechtigungen einer Anwendung bearbeiten können und dass Änderungen vollständig überprüft werden. Auditoren erhalten eine Übersicht, wer die Änderungen vorgenommen hat und wann diese Änderungen vorgenommen wurden.
F: Kann ich in Amazon Verified Permissions Richtlinien anhand der IAM-Richtliniensprache erstellen?
Nein. Für die Erstellung von Richtlinien muss die Sprache der Cedar-Richtlinie verwendet werden. Sie wurde entwickelt, um die Verwaltung von Berechtigungen für Kundenanwendungsressourcen zu unterstützen, während die IAM-Richtliniensprache zur Unterstützung der Zugriffskontrolle für AWS-Ressourcen entwickelt wurde.