D: Che cos'è Amazon Verified Permissions?
Amazon Verified Permissions è un nuovo servizio che consente di implementare e applicare autorizzazioni specifiche sulle risorse all'interno delle applicazioni create e distribuite, come le applicazioni per i sistemi di risorse umane e le applicazioni bancarie. Con Amazon Verified Permissions, è possibile eseguire le seguenti attività:
- Definire un modello di accesso basato su policy che descrive le risorse gestite dalla tua applicazione e le azioni (come visualizzazione, aggiornamento e condivisione) che gli utenti possono eseguire su tali risorse.
- Offrire agli utenti dell'applicazione la possibilità di gestire l'accesso a tali risorse. L'applicazione crea un'autorizzazione che consente allo specialista di visualizzare e aggiornare i record e poi la archivia in Amazon Verified Permissions.
- Applicare tali autorizzazioni.
D: Perché dovrei utilizzare Amazon Verified Permissions?
Utilizzando Amazon Verified Permissions insieme al tuo gestore dell'identità digitale (IdP), come Amazon Cognito, puoi usufruire di una soluzione di gestione degli accessi più dinamica e basata su policy per le tue applicazioni. Hai la possibilità di creare applicazioni che consentono agli utenti finali di condividere informazioni, collaborare e mantenere al contempo la sicurezza, la riservatezza e la privacy dei propri dati. Amazon Verified Permissions velocizza la creazione di applicazioni. Aiuta inoltre a ridurre i costi operativi fornendo un sistema di autorizzazioni specifiche per applicare controlli di accesso in base ai ruoli e agli attributi delle tue identità e risorse. È possibile definire il proprio modello di policy, creare e archiviare policy in una posizione centrale e valutare le richieste di accesso in millisecondi. In qualità di motore di policy, Amazon Verified Permissions consente all'applicazione di verificare l'azione dell'utente in tempo reale, come richiesto per un'architettura Zero Trust. Evidenzia inoltre le autorizzazioni non valide e con privilegi eccessivi. Amazon Verified Permissions supporta la governance e la conformità. Fornisce strumenti di controllo per configurare, mantenere e analizzare le autorizzazioni su più applicazioni diverse per rispondere a domande, ad esempio chi ha accesso a quali dati.
D: Come inizio a usare il servizio?
All'interno della Console di gestione AWS, accedi ad Amazon Verified Permissions nel campo Sicurezza, identità e conformità. Semplifica la configurazione della tua prima applicazione utilizzando la procedura guidata, che ti mostra nei dettagli il processo per definire il modello di autorizzazioni dell'applicazione e creare autorizzazioni. Successivamente potrai utilizzare l'API del servizio o la console per valutare le richieste di accesso.
D: In che modo Amazon Verified Permissions si integra con altri servizi AWS?
Amazon Verified Permissions, in combinazione con Amazon Cognito e altri gestori dell'identità digitale, offre una soluzione di gestione degli accessi dinamica per le applicazioni consumer. Gli sviluppatori di applicazioni possono utilizzare Amazon Cognito per gestire le identità degli utenti e autenticare gli utenti quando eseguono l'accesso. Amazon Verified Permissions può quindi determinare a quali risorse dell'applicazione può accedere un utente autenticato. È inoltre possibile utilizzare il servizio con il Centro identità AWS IAM per applicazioni del personale.
D: Perché ho bisogno di autorizzazioni specifiche per le applicazioni personalizzate e in che modo Amazon Verified Permissions le supporta?
È necessario disporre di autorizzazioni specifiche nelle applicazioni per limitare l'accesso degli utenti ai privilegi minimi, come richiesto per un'architettura Zero Trust. Un sistema di autorizzazione centrale basato su policy offre agli sviluppatori un modo coerente per definire e gestire autorizzazioni specifiche tra le applicazioni, semplifica la modifica delle regole di autorizzazione senza la necessità di modificare il codice e migliora la visibilità delle autorizzazioni spostandole fuori dal codice.
D: Come posso definire un modello di accesso basato su policy di Amazon Verified Permissions per utenti, risorse e azioni?
È possibile creare un modello di accesso basato su policy che descriva le risorse gestite dall'applicazione e le azioni che possono essere intraprese su tali risorse. Queste risorse possono includere identità non umane, ad esempio dispositivi o processi di sistema. Puoi creare il tuo modello tramite la console, un'API o un'interfaccia della linea di comando (CLI).
D: Amazon Verified Permissions funziona con gestori dell'identità digitale diversi da Amazon Cognito?
Sì, Amazon Verified Permissions può essere utilizzato con identità di qualsiasi gestore, ad esempio Okta, Ping Identity e CyberArk.
D: Come si definiscono le autorizzazioni?
È possibile definire le autorizzazioni tramite il linguaggio delle policy Cedar. Le policy Cedar sono istruzioni di autorizzazione o divieto che determinano se un utente può agire su una risorsa. Le policy sono associate alle risorse. È possibile collegare più policy a una risorsa. Le policy di divieto prevalgono sulle policy di autorizzazione. In questo modo, è possibile stabilire all'interno dell'applicazione guardrail che impediscano l'accesso, indipendentemente dalle policy di autorizzazione in atto.
D: Cos'è Cedar?
Cedar è un linguaggio di policy flessibile, estensibile e scalabile, che aiuta gli sviluppatori a definire le autorizzazioni delle applicazioni come policy. Gli amministratori e gli sviluppatori possono definire policy che consentono o vietano agli utenti di agire sulle risorse delle applicazioni. È possibile collegare più policy a una singola risorsa. Quando un utente della tua applicazione tenta di eseguire un'azione su una risorsa, l'applicazione invia una richiesta di autorizzazione al motore delle policy Cedar. Cedar valuta le policy applicabili e restituisce una decisione CONSENTI o RIFIUTA. Cedar supporta le regole di autorizzazione per qualsiasi tipo di principale e risorsa, consente il controllo degli accessi basato su ruoli e attributi e supporta l'analisi tramite strumenti di ragionamento automatico.
D: Come può la mia applicazione valutare le richieste di accesso degli utenti?
Quando un utente dell'applicazione tenta di eseguire un'azione su una risorsa, l'applicazione chiama l'API di Amazon Verified Permissions con una richiesta di autorizzazione. Amazon Verified Permissions controlla la richiesta in base alle policy pertinenti e restituisce una decisione CONSENTI o RIFIUTA secondo il risultato di tale valutazione. Sulla base di questo risultato, l'applicazione può consentire all'utente di eseguire l'azione o bloccarla.
D: Come posso integrare la mia applicazione con Amazon Verified Permissions per creare e valutare le policy di tale servizio?
Utilizza le API di Amazon Verified Permissions nella tua applicazione per creare policy, aggiornarle, collegarle alle risorse e autorizzare le richieste di accesso degli utenti. Quando un utente tenta di eseguire un'azione su una risorsa, l'applicazione crea una richiesta. Questa richiesta include informazioni sull'utente, sull'azione e sulla risorsa e le trasmette ad Amazon Verified Permissions. Il servizio valuta la richiesta e risponde con una decisione CONSENTI o RIFIUTA. La tua applicazione è quindi responsabile dell'esecuzione di tale decisione.
D: Come posso verificare che le autorizzazioni create in Amazon Verified Permissions siano corrette?
Amazon Verified Permissions convalida le policy che crei in base al modello di autorizzazioni e rifiuta le policy non valide. Ad esempio, se le azioni descritte nella policy non sono valide per il tipo di risorsa, l'applicazione non potrà creare la policy. Amazon Verified Permissions aiuta a verificare la completezza e la correttezza delle policy. Aiuta inoltre a identificare le policy che si contraddicono a vicenda, le risorse a cui nessun utente è autorizzato ad accedere o gli utenti con accesso con privilegi eccessivi. Il servizio utilizza una forma di analisi matematica chiamata ragionamento automatico in grado di analizzare milioni di policy su più applicazioni.
D: In che modo Amazon Verified Permissions mi aiuta in termini di conformità e controllo?
Amazon Verified Permissions aiuta a determinare chi ha accesso a quali dati e chi può visualizzare e modificare le autorizzazioni. Garantisce che solo gli utenti autorizzati possano modificare le autorizzazioni di un'applicazione e che le modifiche siano completamente controllate. Inoltre i revisori possono vedere chi e quando ha apportato le modifiche.
D: Posso creare policy in Amazon Verified Permissions utilizzando il linguaggio delle policy IAM?
No, per creare policy è necessario utilizzare il linguaggio delle policy Cedar. Quest'ultimo è progettato per supportare la gestione delle autorizzazioni per le risorse delle applicazioni dei clienti, mentre il linguaggio delle policy IAM si è evoluto per supportare il controllo degli accessi per le risorse AWS.