D: Cosa sono le Autorizzazioni verificate da Amazon?
Le Autorizzazioni verificate aiutano a implementare e applicare autorizzazioni granulari sulle risorse all'interno delle applicazioni create e implementate, come le applicazioni per i sistemi di risorse umane e le applicazioni bancarie. Con Autorizzazioni verificate, puoi eseguire le seguenti attività:
- Definire un modello di accesso basato su policy che descrive le risorse gestite dalla tua applicazione e le azioni (come visualizzazione, aggiornamento e condivisione) che gli utenti possono eseguire su tali risorse.
- Offrire agli utenti dell'applicazione la possibilità di gestire l'accesso a tali risorse. L'applicazione crea un'autorizzazione che consente allo specialista di visualizzare e aggiornare i record e poi la archivia in Autorizzazioni verificate.
- Applicare tali autorizzazioni.
D: Perché dovrei utilizzare le Autorizzazioni verificate?
Utilizzando Autorizzazioni verificate insieme al tuo gestore dell'identità digitale, come Amazon Cognito, puoi usufruire di una soluzione di gestione degli accessi più dinamica e basata su policy per le tue applicazioni. Hai la possibilità di creare applicazioni che aiutano gli utenti finali a condividere informazioni, collaborare e mantenere al contempo la sicurezza, la riservatezza e la privacy dei propri dati. Autorizzazioni verificate velocizza la creazione di applicazioni. Aiuta inoltre a ridurre i costi operativi fornendo un sistema di autorizzazioni granulari per applicare controlli di accesso in base ai ruoli e agli attributi delle tue identità e risorse. Puoi definire il modello di policy, creare e archiviare policy in una posizione centrale e valutare le richieste di accesso in millisecondi. In qualità di motore di policy, Autorizzazioni verificate consente all'applicazione di verificare l'azione dell'utente in tempo reale, come richiesto per un'architettura Zero Trust. Evidenzia inoltre le autorizzazioni non valide e con privilegi eccessivi. Autorizzazioni verificate supporta la governance e la conformità. Fornisce strumenti di controllo per configurare, mantenere e analizzare le autorizzazioni su più applicazioni diverse per rispondere alle domande, ad esempio chi ha accesso a quali dati.
D: Come inizio a usare il servizio?
All'interno della Console di gestione AWS, accedi ad Autorizzazioni verificate da Amazon nel campo Sicurezza, identità e conformità. Semplifica la configurazione della tua prima applicazione utilizzando la procedura guidata, che ti mostra nei dettagli il processo per definire il modello di autorizzazioni dell'applicazione e creare autorizzazioni. Successivamente puoi utilizzare l'API o la console del servizio per valutare le richieste di accesso.
D: In che modo le Autorizzazioni verificate si integrano con altri servizi AWS?
Le Autorizzazioni verificate, in combinazione con Amazon Cognito e altri gestori dell'identità digitale, offrono una soluzione di gestione degli accessi dinamica per le applicazioni consumer. Gli sviluppatori di applicazioni possono utilizzare Amazon Cognito per gestire le identità degli utenti e autenticare questi ultimi quando eseguono l'accesso. Le Autorizzazioni verificate possono quindi determinare a quali risorse dell'applicazione può accedere un utente autenticato. Inoltre, puoi utilizzare il servizio con il Centro identità IAM per le applicazioni del personale.
D: Perché ho bisogno di un'autorizzazione granulare per le applicazioni che creo e in che modo sono supportate da Autorizzazioni verificate?
Devi disporre di autorizzazioni granulari nelle applicazioni per limitare l'accesso degli utenti ai privilegi minimi, come richiesto per un'architettura Zero Trust. Un sistema di autorizzazione centrale basato su policy offre agli sviluppatori un modo coerente per definire e gestire autorizzazioni granulari tra le applicazioni, semplifica la modifica delle regole di autorizzazione senza la necessità di modificare il codice e migliora la visibilità delle autorizzazioni spostandole fuori dal codice.
D: Come posso definire un modello di accesso basato su policy di Autorizzazioni verificate per utenti, risorse e azioni?
Puoi creare un modello di accesso basato su policy che descriva le risorse gestite dall'applicazione e le azioni che possono essere intraprese su tali risorse. Queste risorse possono includere identità non umane, ad esempio dispositivi o processi di sistema. Puoi creare il tuo modello tramite la console, un'API o un'interfaccia della linea di comando (CLI).
D: Le Autorizzazioni verificate funzionano con gestori dell'identità digitale diversi da Amazon Cognito?
Sì, il servizio Autorizzazioni verificate può essere utilizzato con le identità dei gestori come Okta, Ping Identity e CyberArk.
D: Come si definiscono le autorizzazioni?
È possibile definire le autorizzazioni tramite il linguaggio delle policy Cedar. Le policy Cedar sono istruzioni di autorizzazione o divieto che determinano se un utente può agire su una risorsa. Le politiche sono associate alle risorse ed è possibile allegare più politiche a una risorsa. Le policy di divieto prevalgono sulle policy di autorizzazione. In questo modo, è possibile stabilire all'interno dell'applicazione guardrail che impediscano l'accesso, indipendentemente dalle policy di autorizzazione in atto.
D: Cos'è Cedar?
Cedar è un linguaggio di controllo degli accessi basato su policy flessibile, estensibile e dimensionabile, che aiuta gli sviluppatori a definire le autorizzazioni delle applicazioni come policy. Gli amministratori e gli sviluppatori possono definire policy che consentono o vietano agli utenti di agire sulle risorse delle applicazioni. È possibile collegare più policy a una singola risorsa. Quando un utente della tua applicazione tenta di eseguire un'azione su una risorsa, l'applicazione invia una richiesta di autorizzazione al motore delle policy Cedar. Cedar valuta le policy applicabili e restituisce una decisione CONSENTI o RIFIUTA. Cedar supporta le regole di autorizzazione per qualsiasi tipo di principale e risorsa, consente il controllo degli accessi basato su ruoli e attributi e supporta l'analisi tramite strumenti di ragionamento automatico.
D: Come può la mia applicazione valutare le richieste di accesso degli utenti?
Quando un utente dell'applicazione tenta di eseguire un'azione su una risorsa, l'applicazione chiama l'API di Autorizzazioni verificate con una richiesta di autorizzazione. Il servizio Autorizzazioni verificate controlla la richiesta in base alle policy pertinenti e restituisce una decisione CONSENTI o RIFIUTA secondo il risultato di tale valutazione. Sulla base di questo risultato, l'applicazione può consentire all'utente di eseguire l'azione o bloccarla.
D: Come posso integrare la mia applicazione con Autorizzazioni verificate per creare e valutare le policy di tale servizio?
Utilizza le API di Autorizzazioni verificate nella tua applicazione per creare policy, aggiornarle, collegarle alle risorse e autorizzare le richieste di accesso degli utenti. Quando un utente tenta di eseguire un'azione su una risorsa, l'applicazione crea una richiesta. Questa richiesta include informazioni sull'utente, sull'azione e sulla risorsa e le trasmette ad Autorizzazioni verificate. Il servizio valuta la richiesta e risponde con una decisione CONSENTI o RIFIUTA. La tua applicazione è quindi responsabile dell'esecuzione di tale decisione.
D: Come posso verificare che le autorizzazioni create in Autorizzazioni verificate siano corrette?
Le Autorizzazioni verificate convalidano le policy create in base al modello di autorizzazioni e rifiuta le policy non valide. Ad esempio, se le azioni descritte nella policy non sono valide per il tipo di risorsa, l'applicazione non potrà creare la policy. Autorizzazioni verificate aiuta a verificare la completezza e la correttezza delle policy. Inoltre, aiuta a identificare le policy che si contraddicono a vicenda, le risorse a cui nessun utente è autorizzato ad accedere o gli utenti con accesso con privilegi eccessivi. Il servizio utilizza una forma di analisi matematica chiamata ragionamento automatico in grado di analizzare milioni di policy su più applicazioni.
D: In che modo il servizio di Autorizzazioni verificate aiuta in termini di conformità e controllo?
Le Autorizzazioni verificate aiutano a determinare chi ha accesso a quali dati e chi può visualizzare e modificare le autorizzazioni. Garantisce che solo gli utenti autorizzati possano modificare le autorizzazioni di un'applicazione e che le modifiche siano completamente controllate. Inoltre i revisori possono vedere chi e quando ha apportato le modifiche.
D: Posso creare policy in Autorizzazioni verificate utilizzando il linguaggio delle policy IAM?
No. È necessario utilizzare il linguaggio delle politiche Cedar per creare politiche. Mentre Cedar è progettato per supportare la gestione delle autorizzazioni per le risorse delle applicazioni dei clienti, il linguaggio delle policy IAM si è evoluto per supportare il controllo degli accessi per le risorse AWS.