FAQ d'Amazon Verified Permissions

Verified Permissions vous permet de mettre en œuvre et d'appliquer des autorisations précises sur les ressources dans les applications que vous créez et déployez, telles que les systèmes RH et les applications bancaires. Avec Verified Permissions, vous pouvez effectuer les tâches suivantes :

1. Définir un modèle d'accès basé sur des règles qui décrit les ressources gérées par votre application et les actions (telles que l'affichage, la mise à jour et le partage) que les utilisateurs peuvent effectuer sur ces ressources.
2. Donner aux utilisateurs des applications la possibilité de gérer l'accès à ces ressources. L'application crée une autorisation permettant au spécialiste de consulter les enregistrements, de les mettre à jour, puis de les stocker dans Verified Permissions.
3. Faites respecter ces autorisations.

Utilisez Verified Permissions avec votre fournisseur d'identité, tel que Amazon Cognito, pour une solution de gestion des accès plus dynamique et basée sur des politiques pour vos applications. Vous pouvez créer des applications qui aident les utilisateurs finaux à partager des informations et à collaborer tout en préservant la sécurité, la confidentialité et le caractère privé de leurs données. Verified Permissions vous aide à créer des applications plus rapidement. Il contribue également à réduire les coûts opérationnels en vous fournissant un système d'autorisation précis pour faire respecter l'accès en fonction des rôles et des attributs de vos identités et de vos ressources. Vous pouvez définir votre modèle de politique, créer et stocker des politiques dans un emplacement central, et évaluer les demandes d'accès en quelques millisecondes. En tant que moteur de politiques, les autorisations vérifiées peuvent aider votre application à vérifier l'action des utilisateurs en temps réel, comme l'exige la confiance zéro. Il met également en évidence les autorisations sur-privilégiées et non valides. Verified Permissions prend en charge la gouvernance et la conformité. Il fournit des outils d'audit permettant de configurer, de maintenir et d'analyser les autorisations sur plusieurs applications diverses afin de répondre à des questions telles que « qui a accès à quoi ».

Dans la console de gestion AWS, accédez à Amazon Verified Permissions sous Sécurité, Identité et Conformité. Simplifiez la configuration de votre première application en utilisant l'assistant qui vous guide tout au long du processus de définition du modèle de permissions de votre application et de création des permissions. Vous pouvez ensuite utiliser l'API ou la console du service pour évaluer les demandes d'accès.

Verified Permissions, combiné à Amazon Cognito et à d'autres fournisseurs d'identité, vous offre une solution dynamique de gestion des accès pour les applications grand public. Les développeurs d'applications peuvent utiliser Amazon Cognito pour gérer les identités des utilisateurs et les authentifier lors de la connexion. Verified Permissions peut alors déterminer les ressources d'application auxquelles un utilisateur authentifié est autorisé à accéder. Vous pouvez également utiliser le service avec IAM Identity Center pour les applications destinées au personnel.

Les autorisations précises vous sont nécessaires dans vos applications afin de limiter l'accès des utilisateurs au moindre privilège, comme l'exige une architecture de confiance zéro. Un système d'autorisation central basé sur des politiques offre aux développeurs un moyen cohérent de définir et de gérer des autorisations précises dans toutes les applications, simplifie la modification des règles d'autorisation sans qu'il soit nécessaire de changer le code, et améliore la visibilité des autorisations en les faisant sortir du code.

Vous pouvez créer un modèle d'accès basé sur des politiques qui décrit les ressources gérées par vos applications et les actions qui peuvent être effectuées sur ces ressources. Ces ressources peuvent inclure des identités non humaines, telles que des dispositifs ou des processus système. Vous pouvez créer votre modèle via la console, une API ou une interface de ligne de commande.

Oui, Verified Permissions peut être utilisé avec les identités de fournisseurs comme Okta, Ping Identity et CyberArk.

Vous pouvez définir les autorisations via le langage de politique de Cedar. Les politiques de Cedar sont des déclarations d'autorisation ou d'interdiction qui déterminent si un utilisateur peut agir sur une ressource. Les politiques sont associées aux ressources et vous pouvez associer plusieurs politiques à une ressource. Les politiques d'interdiction prévalent sur les politiques d'autorisation. Cela vous permet d'établir des barrières de protection dans votre application qui empêchent l'accès, quelles que soient les politiques d'autorisation en vigueur.

Cedar est un langage de contrôle d'accès flexible, extensible et évolutif basé sur des politiques, qui aide les développeurs à exprimer les autorisations des applications sous forme de politiques. Les administrateurs et les développeurs peuvent définir des politiques qui autorisent ou interdisent aux utilisateurs d'agir sur les ressources des applications. Plusieurs politiques peuvent être attachées à une seule ressource. Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application envoie une demande d'autorisation au moteur de politique du Cèdre. Cedar évalue les politiques applicables et renvoie une AUTORISATION ou un REFUS. Cedar prend en charge les règles d'autorisation pour tout type de principal et de ressource, permet un contrôle d'accès basé sur les rôles et les attributs, et prend en charge l'analyse par le biais d'outils de raisonnement automatisés.

Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application peut appeler l'API Verified Permissions avec une demande d'autorisation. Verified Permissions vérifie la demande par rapport aux politiques pertinentes et renvoie une AUTORISATION ou un REFUS en fonction du résultat de cette évaluation. En fonction de ce résultat, votre application peut soit laisser l'utilisateur effectuer l'action, soit la bloquer.

Utilisez les API Verified Permissions dans votre application pour créer, mettre à jour et attacher des politiques aux ressources et autoriser les demandes d'accès des utilisateurs. Lorsqu'un utilisateur tente d'effectuer une action sur une ressource, votre application construit une requête. Cette requête comprend des informations sur l'utilisateur, l'action et la ressource, et les transmet à Verified Permissions. Le service évalue la requête et répond par une AUTORISATION ou un REFUS. Votre application est ensuite chargée de faire appliquer cette décision.

Verified Permissions valide les politiques que vous créez par rapport au modèle d'autorisations et rejette toute politique qui n'est pas valide. Par exemple, si les actions décrites dans la politique ne sont pas valables pour le type de ressource, votre application est empêchée de créer la politique. Verified Permissions vous aide à vérifier l'exhaustivité et l'exactitude de vos politiques. Le service vous aide également à identifier les politiques qui se contredisent directement, les ressources auxquelles aucun utilisateur n'est jamais autorisé à accéder, ou les utilisateurs disposant d'un accès trop privilégié. Le service utilise une forme d'analyse mathématique appelée raisonnement automatisé qui permet d'analyser des millions de politiques dans de multiples applications.

Verified Permissions vous aide à déterminer qui a accès à quoi, et qui peut voir et modifier les autorisations. Il confirme que seuls les utilisateurs autorisés peuvent modifier les autorisations d'une application et que les modifications sont entièrement auditées. Les auditeurs peuvent savoir qui a apporté les modifications et quand elles ont été effectuées.

Non. Vous devez utiliser le langage de politique Cedar pour créer des politiques. Alors Cedar est conçu pour prendre en charge la gestion des autorisations pour les ressources applicatives des clients, le langage de politique IAM a évolué pour prendre en charge le contrôle d'accès aux ressources AWS.