- Sicherheit, Identität und Compliance›
- Amazon Verified Permissions›
- Häufig gestellte Fragen
Häufig gestellte Fragen zu Amazon Verified Permissions
Page Topics
AllgemeinesAllgemeines
Was ist Amazon Verified Permissions?
Verified Permissions hilft Ihnen beim Implementieren und Erzwingen von fein abgestufter Autorisierung für Ressourcen in den Anwendungen, die Sie entwickeln und bereitstellen, wie etwa HR-Systeme und Bankanwendungen. Mit Verified Permissions können Sie die folgenden Aufgaben durchführen:
- Definieren eines richtlinienbasierten Zugriffsmodells, das die von Ihrer Anwendung verwalteten Ressourcen und Aktionen beschreibt (wie etwa Anzeigen, Aktualisieren und Teilen), die Benutzer an diesen Ressourcen durchführen können.
- Stellen Sie Anwendungsbenutzern die Fähigkeit zur Verfügung, diese Ressourcen zu verwalten. Die Anwendung erstellt eine Berechtigung für den Experten zum Anzeigen und Aktualisieren der Datensätze und speichert sie dann in Verified Permissions.
- Erzwingen Sie diese Berechtigungen.
Warum sollte ich Verified Permissions verwenden?
Verwenden Sie Verified Permissions zusammen mit Ihrem Identitätsanbieter wie Amazon Cognito für eine dynamischere, richtlinienbasierte Lösung für die Zugriffsverwaltung für Ihre Anwendungen. Sie können Anwendungen erstellen, mit denen Endbenutzer Informationen austauschen und zusammenarbeiten können, während die Sicherheit, Vertraulichkeit und der Datenschutz ihrer Daten gewahrt bleiben. Verified Permissions hilft Ihnen Anwendungen schneller zu erstellen. Außerdem hilft es bei der Senkung der Betriebskosten durch Bereitstellen eines differenzierten Autorisierungssystems zur Durchsetzung des Zugriffs auf Grundlage von Rollen und Attributen Ihrer Identitäten und Ressourcen. Sie können Ihr Richtlinienmodell definieren, Richtlinien erstellen und an einem zentralen Speicherort aufbewahren und Zugriffsanfragen in Millisekunden auswerten. Als Richtlinien-Engine kann Verified Permissions Ihrer Anwendung helfen, Benutzeraktionen in Echtzeit zu verifizieren, wie es für Zero Trust erforderlich ist. Außerdem hebt es ungültige oder zu hohe Berechtigungen hervor. Verified Permissions unterstützt Governance und Compliance. Es bietet Tools zum Konfigurieren, Verwalten und Analysieren von Berechtigungen über mehrere verschiedene Anwendungen hinweg, um Fragen leichter beantworten zu können, etwa wer worauf Zugriff hat.
Was sind die ersten Schritte?
Greifen Sie über die AWS-Managementkonsole auf die Option Amazon Verified Permissions unter Sicherheit, Identität und Compliance zu. Vereinfachen Sie die Einrichtung Ihrer ersten Anwendung, indem Sie den Assistenten verwenden, der Sie durch den Prozess der Definition des Berechtigungsmodells Ihrer Anwendung und der Erstellung von Berechtigungen führt. Sie können dann die Service-API oder -Konsole verwenden, um Zugriffsanfragen auszuwerten.
Wie funktioniert Verified Permissions in Verbindung mit anderen AWS-Services?
Verified Permissions bietet Ihnen in Verbindung mit Amazon Cognito und anderen Identitätsanbietern eine Lösung für dynamische Zugriffsverwaltung für Verbraucheranwendungen. Anwendungsentwickler können Amazon Cognito zum Verwalten von Benutzeridentitäten und Authentifizieren von Benutzern bei der Anmeldung verwenden. Verified Permissions kann dann bestimmen, auf welche Anwendungsressourcen ein authentifizierter Benutzer zugreifen darf. Sie können auch den Service mit AWS IAM Identity Center für Workforce-Anwendungen verwenden.
Warum benötige ich eine fein abgestufte Autorisierung für die von mir entwickelten Anwendungen und werden sie von Verified Permissions unterstützt?
Sie benötigen fein abgestufte Autorisierungen für Ihre Anwendungen, um den Benutzerzugriff auf die geringste Berechtigung einzuschränken, wie für eine Zero-Trust-Architektur erforderlich. Ein zentrales richtlinienbasiertes Autorisierungssystem bietet Entwicklern eine konsistente Möglichkeit zum anwendungsübergreifenden Definieren und Verwalten differenzierter Berechtigungen, vereinfacht das Ändern von Berechtigungsregeln, ohne Code ändern zu müssen, und verbessert die Transparenz von Berechtigungen, indem sie an einen Ort außerhalb des Codes verschoben werden.
Wie definiere ich ein richtlinienbasiertes Verified-Permissions-Zugriffsmodell für meine Benutzer, Ressourcen und Aktionen?
Sie können ein richtlinienbasiertes Zugriffsmodell erstellen, das Ihre von der Anwendung verwalteten Ressourcen beschreibt und die Aktionen, die an diesen Ressourcen vorgenommen werden können. Diese Ressourcen können nicht-menschliche Identitäten beinhalten, wie etwa Geräte oder Systemprozesse. Sie können Ihr Modell über die Konsole, eine API oder eine Befehlszeilenschnittstelle (CLI) erstellen.
Ist Verified Permissions mit anderen Identitätsanbietern als Amazon Cognito kompatibel?
Ja, Amazon Verified Permissions kann mit Identitäten von einem beliebigen Anbieter verwendet werden, wie etwa Okta, Ping Identity und CyberArk.
Wie definiere ich Berechtigungen?
Sie können Berechtigungen über die Cedar-Richtliniensprache definieren. Cedar-Richtlinien sind Anweisungen für Berechtigungen oder Verbote, die bestimmen, ob ein Benutzer Aktionen an einer Ressource durchführen darf. Richtlinien sind Ressourcen zugeordnet, und Sie können einer Ressource mehrere Richtlinien zuordnen. Richtlinien für Verbote haben Vorrang vor Richtlinien für Genehmigungen. Auf diese Weise können Sie Integritätsschutz in Ihrer Anwendung einrichten, die den Zugriff verhindern, unabhängig davon, welche Richtlinien für Genehmigungen möglicherweise gelten.
Was ist Cedar?
Cedar ist eine flexible, erweiterbare und skalierbare Richtliniensprache, die Entwicklern hilft, Anwendungsberechtigungen als Richtlinien auszudrücken. Administratoren und Entwickler können Richtlinien definieren, die Benutzern Aktionen an Anwendungsressourcen erlauben oder verbieten. Einer einzelnen Ressource können mehrere Richtlinien zugewiesen sein. Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, stellt Ihre Anwendung eine Autorisierungsanfrage an die Cedar-Richtlinien-Engine. Cedar wertet die geltenden Richtlinien aus und gibt die Entscheidung ALLOW oder DENY zurück. Cedar unterstützt Autorisierungsregeln für jeden Prinzipal- und Ressourcentyp, erlaubt rollen- und attributbasierte Zugriffssteuerung und unterstützt die Analyse über automatisierte Reasoning-Tools.
Wie kann meine Anwendung Zugriffsanfragen von Benutzern auswerten?
Wenn ein Benutzer Ihrer Anwendung versucht, eine Aktion an einer Ressource auszuführen, kann Ihre Anwendung die Verified-Permissions-API mit einer Autorisierungsanfrage aufrufen. Verified Permissions überprüft die Anfrage anhand der relevanten Richtlinien und gibt die Entscheidung ALLOW oder DENY auf Grundlage des Ergebnisses der Bewertung zurück. Basierend auf diesem Ergebnis kann die Anwendung erlauben, dass der Benutzer die Aktion durchführt, oder sie verbieten.
Wie integriere ich meine Anwendung in Verified Permissions, um Verified-Permissions-Richtlinien zu erstellen und auszuwerten?
Verwenden Sie Verified-Permissions-APIs in Ihrer Anwendung, um Richtlinien zu erstellen, Richtlinien zu aktualisieren, Richtlinien an Ressourcen anzufügen und Zugriffsanfragen von Benutzern zu autorisieren. Wenn ein Benutzer versucht, eine Aktion für eine Ressource durchzuführen, erstellt Ihre Anwendung eine Anfrage. Diese Anfrage enthält Informationen über den Benutzer, die Aktion und die Ressource und leitet sie an Verified Permissions weiter. Der Dienst wertet die Anfrage aus und antwortet mit einer Entscheidung ALLOW oder DENY. Die Anwendung ist dann für die Durchsetzung dieser Entscheidung verantwortlich.
Wie überprüfe ich, dass die in Verified Permissions erstellten Berechtigungen korrekt sind?
Amazon Verified Permissions überprüft Richtlinien, die Sie anhand des Berechtigungsmodells erstellen, und lehnt alle ungültigen Richtlinien ab. Wenn zum Beispiel die in der Richtlinie beschriebenen Aktionen für den Ressourcentyp nicht gültig sind, wird Ihre Anwendung daran gehindert, die Richtlinie zu erstellen. Amazon Verified Permissions hilft bei der Überprüfung der Vollständigkeit und Richtigkeit Ihrer Richtlinien. Der Service hilft Ihnen auch dabei, Richtlinien zu identifizieren, die in direktem Widerspruch zueinander stehen, Ressourcen, auf die kein Benutzer jemals zugreifen darf, oder Benutzer mit übermäßig privilegiertem Zugriff. Der Service verwendet eine Form der mathematischen Analyse, die als Automated Reasoning bezeichnet wird und Millionen von Richtlinien in mehreren Anwendungen analysieren kann.
Wie hilft mir Verified Permissions bei Compliance und Audit?
Verified Permissions hilft Ihnen beim Festlegen, wer worauf Zugriff hat und wer Berechtigungen anzeigen und bearbeiten kann. Es überprüft, dass nur autorisierte Benutzer die Berechtigungen einer Anwendung bearbeiten können und dass Änderungen vollständig überprüft werden. Prüfer erhalten eine Übersicht, wer die Änderungen vorgenommen hat und wann diese Änderungen vorgenommen wurden.
Kann ich in Verified Permissions Richtlinien anhand der IAM-Richtliniensprache erstellen?
Nein. Sie müssen die Cedar-Richtliniensprache verwenden, um Richtlinien zu verfassen. Während Cedar für die Verwaltung von Berechtigungen für Kundenanwendungsressourcen konzipiert ist, wurde die IAM-Richtliniensprache entwickelt, um die Zugriffskontrolle für AWS-Ressourcen zu unterstützen.