Funzionalità di Autorizzazioni verificate da Amazon

Definisci il tuo schema per ciascun tipo di entità, inclusi gli attributi relativi al modello di autorizzazione e le combinazioni valide di tipi di principali, tipi di risorse e azioni. Autorizzazioni verificate utilizza lo schema per convalidare la coerenza di una policy statica o di un modello di policy con il modello di autorizzazione dell'applicazione. Puoi usare JSON per definire uno schema in Autorizzazioni verificate. Ha qualche somiglianza con lo schema JSON ma utilizza aspetti unici del linguaggio delle policy Cedar. Puoi definire gruppi di azioni nel tuo schema, ovvero policy che consentono o vietano gruppi di azioni.

Connetti la tua applicazione al servizio tramite l'API per autorizzare le richieste di accesso degli utenti. Per ogni richiesta di autorizzazione, il servizio recupera le policy pertinenti e le valuta per determinare se un utente è autorizzato a intraprendere un'azione su una risorsa in base a un input di contesto come utenti, ruoli, appartenenza al gruppo e attributi.

Un archivio delle policy è un container di policy in Autorizzazioni verificate che è logicamente isolato dagli altri container. Puoi creare tutte le relazioni e le configurazioni gerarchiche in un unico archivio delle policy per distinguere le policy e i relativi modelli dagli altri archivi. Gli archivi delle policy sono generalmente associati a ciascuna applicazione e consentono di creare configurazioni e regole di schema diverse per più tenant senza condivisione o connettività tra di essi. Ad esempio, potresti disporre di un archivio delle policy separato per ogni tenant che utilizza un'applicazione di Autorizzazioni verificate; puoi eliminare l'archivio delle policy di un tenant senza influire sulle risorse, sugli schemi, sulle policy e sui relativi modelli di qualsiasi altro archivio.

La funzionalità del banco di prova è uno strumento per testare e risolvere i problemi relativi alle policy di Autorizzazioni verificate mediante l'esecuzione di una richiesta di autorizzazione simulata per tutte le policy del tuo archivio delle policy. Il banco di prova utilizza i parametri specificati per determinare se le policy dell'archivio autorizzerebbero la richiesta.

Puoi utilizzare un modello di policy, ovvero una dichiarazione di policy con segnaposti nell'ambito che devono essere compilati con valori specifici. Un modello di policy può contenere segnaposti per il principale, la risorsa o entrambi. Gli aggiornamenti al modello di policy si riflettono su tutti i principali e le risorse che utilizzano il modello, noto anche come policy collegata al modello.

Consigliamo di utilizzare modelli di policy per creare policy che possono essere condivise in tutta l'applicazione. Ad esempio, puoi creare un modello di policy per un editor che fornisce autorizzazioni di lettura, modifica e commento per il principale e la risorsa che utilizzano tale modello. Puoi anche utilizzare modelli di policy per definire controlli di accesso a grana grossa, media e fine per le applicazioni. Ad esempio, puoi utilizzare modelli di policy per assegnare utenti specifici a un gruppo, controlli a grana media per assegnare l'accesso a risorse specifiche e controlli a grana fine per gli attributi più granulari delle risorse.

Utilizzando le API di Autorizzazioni verificate, puoi eseguire query specifiche in base alle policy archiviate in Autorizzazioni verificate. Puoi eseguire query delle policy per determinare quali sono applicate a principali specifici, risorse specifiche o entrambi.

Puoi configurare e connettere Autorizzazioni verificate per inviare i log di gestione e autorizzazione delle policy ad AWS CloudTrail.

Puoi passare il tuo token di autenticazione da Amazon Cognito a una richiesta di autorizzazione eseguita tramite Autorizzazioni verificate. Ciò consente di passare dagli attributi del gestore dell'identità digitale direttamente a una valutazione della policy e quindi a una decisione di autorizzazione generata da Autorizzazioni verificate.

Autorizzazioni verificate è integrato con CloudFormation, un servizio che aiuta a modellare e configurare le risorse AWS in modo da dedicare meno tempo alla creazione e alla gestione delle risorse e dell'infrastruttura. Crea un modello che descriva tutte le risorse AWS che desideri e CloudFormation effettua il provisioning e configura tali risorse per te.

L'SDK di Autorizzazioni verificate da Amazon è disponibile utilizzando C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust e Swift.