Q: Qu’est ce que Amazon Verified Permissions ?
Amazon Verified Permissions est un nouveau service qui vous aide à mettre en œuvre et à appliquer des autorisations à grain fin sur les ressources dans les applications que vous construisez et déployez, telles que les systèmes RH et les applications bancaires. Avec Amazon Verified Permissions, vous pouvez effectuer les tâches suivantes:
- Définissez un modèle d'accès basé sur des règles qui décrit les ressources gérées par votre application et les actions (telles que l'affichage, la mise à jour et le partage) que les utilisateurs peuvent effectuer sur ces ressources.
- Donnez aux utilisateurs des applications la possibilité de gérer l'accès à ces ressources. L'application crée une autorisation permettant au spécialiste de consulter et de mettre à jour les enregistrements, puis de les stocker dans Amazon Verified Permissions.
- Faites respecter ces permissions.
Q: Pourquoi devrais-je utiliser Amazon Verified Permissions ?
Utilisez Amazon Verified Permissions avec votre fournisseur d'identité, comme Amazon Cognito, pour une solution de gestion des accès plus dynamique et basée sur des politiques pour vos applications. Vous pouvez créer des applications qui aident les utilisateurs finaux à partager des informations et à collaborer tout en préservant la sécurité, la confidentialité et le caractère privé de leurs données. Amazon Verified Permissions vous aide à créer des applications plus rapidement. Il contribue également à réduire les coûts opérationnels en vous fournissant un système d'autorisation à grain fin pour faire respecter l'accès en fonction des rôles et des attributs de vos identités et de vos ressources. Vous pouvez définir votre modèle de politique, créer et stocker des politiques dans un emplacement central, et évaluer les demandes d'accès en quelques millisecondes. En tant que moteur de politique, Amazon Verified Permissions peut aider votre application à vérifier l'action de l'utilisateur en temps réel, comme l'exige la norme Zero Trust. Il met également en évidence les autorisations non valides et sur-privilégiées. Amazon Verified Permissions prend en charge la gouvernance et la conformité. Il fournit des outils d'audit permettant de configurer, de maintenir et d'analyser les autorisations sur plusieurs applications diverses afin de répondre à des questions telles que "qui a accès à quoi".
Q : Comment démarrer ?
Dans la console de gestion AWS, accédez à Amazon Verified Permissions sous Sécurité, identité et conformité. Simplifiez la configuration de votre première application en utilisant l'assistant qui vous guide tout au long du processus de définition du modèle de permissions de votre application et de création des permissions. Vous pouvez ensuite utiliser l'API du service ou la console pour évaluer les demandes d'accès.
Q : Comment fonctionne Amazon Verified Permissions avec les autres services AWS ?
Amazon Verified Permissions, combiné à Amazon Cognito et à d'autres fournisseurs d'identité, vous offre une solution de gestion dynamique des accès pour les applications grand public. Les développeurs d'applications peuvent utiliser Amazon Cognito pour gérer les identités des utilisateurs et les authentifier lors de la connexion. Amazon Verified Permissions peut alors déterminer les ressources d'application auxquelles un utilisateur authentifié est autorisé à accéder. Vous pouvez également utiliser le service avec AWS IAM Identity Center pour les applications destinées au personnel.
Q: Pourquoi ai-je besoin d'autorisations à grain fin pour les applications personnalisées et comment Amazon Verified Permissions les prend-il en charge ?
Vous avez besoin d'autorisations à grain fin dans vos applications pour limiter l'accès des utilisateurs au moindre privilège, comme l'exige une architecture de confiance zéro. Un système d'autorisation central basé sur des politiques offre aux développeurs un moyen cohérent de définir et de gérer des autorisations à grain fin dans toutes les applications, simplifie la modification des règles d'autorisation sans qu'il soit nécessaire de changer le code, et améliore la visibilité des autorisations en les sortant du code.
Q: Comment puis-je définir un modèle d'accès à base de politiques Amazon Verified Permissions pour mes utilisateurs, ressources et actions ?
Vous pouvez créer un modèle d'accès basé sur des politiques qui décrit les ressources gérées par vos applications et les actions qui peuvent être effectuées sur ces ressources. Ces ressources peuvent inclure des identités non humaines, telles que des dispositifs ou des processus système. Vous pouvez créer votre modèle via la console, une API ou une interface de ligne de commande (CLI).
Q: Amazon Verified Permissions fonctionne-t-il avec des fournisseurs d'identité autres qu'Amazon Cognito ?
Oui, Amazon Verified Permissions peut être utilisé avec les identités de n'importe quel fournisseur, comme Okta, Ping Identity et CyberArk.
Q: Comment définir les autorisations ?
Vous pouvez définir des autorisations par le biais du langage de la politique du cèdre. Les politiques relatives aux cèdres sont des déclarations d'autorisation ou d'interdiction qui déterminent si un utilisateur peut agir sur une ressource. Les politiques sont associées aux ressources. Vous pouvez attacher plusieurs politiques à une ressource. Les politiques d'interdiction prévalent sur les politiques d'autorisation. Cela vous permet d'établir des barrières de protection dans votre application qui empêchent l'accès, quelles que soient les politiques d'autorisation en vigueur.
Q : Qu'est-ce que le cèdre?
Cedar est un langage de politique flexible, extensible et évolutif, qui aide les développeurs à exprimer les autorisations d'application sous forme de politiques. Les administrateurs et les développeurs peuvent définir des politiques qui permettent ou interdisent aux utilisateurs d'agir sur les ressources des applications. Plusieurs politiques peuvent être attachées à une seule ressource. Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application envoie une demande d'autorisation au moteur de politique du Cèdre. Le Cedar évalue les politiques applicables et renvoie une AUTORISATION ou un REFUS. Cedar prend en charge les règles d'autorisation pour tout type de principal et de ressource, permet un contrôle d'accès basé sur les rôles et les attributs, et prend en charge l'analyse par le biais d'outils de raisonnement automatisés.
Q: Comment mon application peut-elle évaluer les demandes d'accès des utilisateurs ?
Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application peut appeler l'API Amazon Verified Permissions avec une demande d'autorisation. Amazon Verified Permissions vérifie la demande par rapport aux politiques pertinentes et renvoie une AUTORISATION ou un REFUS en fonction du résultat de cette évaluation. En fonction de ce résultat, votre application peut soit laisser l'utilisateur effectuer l'action, soit la bloquer.
Q: Comment puis-je intégrer mon application à Amazon Verified Permissions pour créer et évaluer les politiques d'Amazon Verified Permissions ?
Utilisez les API Amazon Verified Permissions dans votre application pour créer des politiques, mettre à jour des politiques, attacher des politiques aux ressources et autoriser les demandes d'accès des utilisateurs. Lorsqu'un utilisateur tente une action sur une ressource, votre application construit une requête. Cette demande comprendra des informations sur l'utilisateur, l'action, la ressource, et les transmettra à Amazon Verified Permissions. Le service évaluera la demande et répondra par une AUTORISATION ou un REFUS. Votre application est ensuite chargée de faire appliquer cette décision.
Q: Comment puis-je confirmer que les autorisations créées dans Amazon Verified Permissions sont correctes ?
Amazon Verified Permissions valide les politiques que vous créez par rapport au modèle d'autorisations et rejette toute politique qui n'est pas valide. Par exemple, si les actions décrites dans la politique ne sont pas valables pour le type de ressource, votre application est empêchée de créer la politique. Amazon Verified Permissions vous aide à vérifier l'exhaustivité et l'exactitude de vos politiques. Le service vous aide également à identifier les politiques qui se contredisent directement, les ressources auxquelles aucun utilisateur n'est jamais autorisé à accéder, ou les utilisateurs disposant d'un accès trop privilégié. Le service utilise une forme d'analyse mathématique appelée "raisonnement automatisé", qui peut analyser des millions de politiques dans de multiples applications.
Q: Comment Amazon Verified Permissions m'aide-t-il en matière de conformité et d'audit ?
Amazon Verified Permissions vous aide à déterminer qui a accès à quoi, et qui peut voir et modifier les autorisations. Il confirme que seuls les utilisateurs autorisés peuvent modifier les autorisations d'une application et que les changements sont entièrement audités. Les auditeurs peuvent savoir qui a apporté les modifications et quand elles ont été effectuées.
Q: Puis-je créer des politiques dans Amazon Verified Permissions en utilisant le langage de politique IAM ?
Non. Le langage de la politique du Cèdre doit être utilisé pour rédiger les politiques. Il est conçu pour prendre en charge la gestion des autorisations pour les ressources applicatives des clients, tandis que le langage de politique IAM a évolué pour prendre en charge le contrôle d'accès aux ressources AWS.