Amazon Verified Permissions FAQ

Verified Permissions는 HR 시스템 및 뱅킹 애플리케이션처럼 구축 및 배포하는 애플리케이션 내에서 리소스에 대한 세분화된 인증을 구현 및 적용할 수 있도록 지원합니다. Verified Permissions를 통해 다음 작업을 수행할 수 있습니다.

1. 애플리케이션에서 관리하는 리소스와 해당 리소스에 대해 사용자가 수행할 수 있는 작업(예: 보기, 업데이트 및 공유)을 설명하는 정책 기반 액세스 모델을 정의합니다.
2. 애플리케이션 사용자에게 해당 리소스에 대한 액세스를 관리할 수 있는 기능을 제공합니다. 애플리케이션은 레코드를 보고 업데이트할 수 있는 전문가를 위한 권한을 생성한 후 이 권한을 Verified Permissions에 저장합니다.
3. 그리고 해당 권한을 적용합니다.

Verified Permissions를 Amazon Cognito와 같은 ID 제공업체와 함께 사용하면 정책을 기반으로 보다 동적으로 애플리케이션에 대한 액세스를 관리할 수 있습니다. 최종 사용자의 정보 공유 및 협업을 지원하면서 데이터에 대한 보안, 기밀성, 개인 정보 보호를 유지하는 데 도움이 되는 애플리케이션을 구축할 수 있습니다. Verified Permissions를 사용하면 애플리케이션을 더 빠르게 구축할 수 있습니다. 또한 자격 증명과 리소스의 역할과 특성을 기반으로 액세스를 적용하는 세분화된 인증 시스템을 제공하여 운영 비용을 절감할 수 있습니다. 정책 모델을 정의하고 정책을 생성하여 중앙 위치에 저장하며 액세스 요청을 밀리초 단위로 평가할 수 있습니다. 정책 엔진으로서 Verified Permissions는 제로 트러스트의 요구 사항에 따라 애플리케이션에서 사용자 활동을 실시간으로 확인하는 데 도움이 될 수 있습니다. 또한 유효하지 않거나 너무 많은 권한이 부여된 권한을 강조하여 보여줍니다. Verified Permissions는 거버넌스 및 규정 준수를 지원합니다. 또한 여러 다양한 애플리케이션에서 권한을 구성, 유지 및 분석하여 누가 무엇에 액세스할 수 있는지 등의 질문에 답변할 수 있도록 지원하는 감사 도구를 제공합니다.

AWS Management Console의 보안, 자격 증명 및 규정 준수에서 Amazon Verified Permissions에 액세스합니다. 애플리케이션의 권한 모델을 정의하고 권한을 생성하는 프로세스를 안내하는 마법사를 사용하여 첫 번째 애플리케이션의 설정을 간단히 수행합니다. 그런 다음 서비스 API나 콘솔을 사용하여 액세스 요청을 평가할 수 있습니다.

Verified Permissions는 Amazon Cognito 및 기타 ID 제공업체와 결합하여 소비자 애플리케이션에 대한 동적 액세스 관리 솔루션을 제공합니다. 애플리케이션 개발자는 Amazon Cognito를 사용하여 사용자 ID를 관리하고 로그인 시 사용자를 인증할 수 있습니다. 그러면 Verified Permissions는 인증된 사용자가 액세스할 수 있는 애플리케이션 리소스를 결정합니다. 이 서비스를 IAM Identity Center와 함께 인력 애플리케이션에 사용할 수도 있습니다.

제로 트러스트 아키텍처에서 필요한 경우 사용자 액세스를 최소 권한으로 제한할 수 있도록 애플리케이션에 세분화된 권한 부여가 필요합니다. 정책 기반 중앙 인증 시스템은 개발자에게 애플리케이션 전반의 세분화된 권한 부여를 정의하고 관리할 수 있는 일관된 방식을 제공하고, 코드를 변경할 필요 없이 권한 규칙 변경을 간소화하고, 권한을 코드 밖으로 이동하여 권한에 대한 가시성을 향상합니다.

애플리케이션 관리형 리소스를 설명하는 정책 기반 액세스 모델과 해당 리소스에서 수행할 수 있는 작업을 생성할 수 있습니다. 이러한 리소스에는 디바이스나 시스템 프로세스와 같이 사람이 아닌 ID가 포함됩니다. 콘솔, API 또는 명령줄 인터페이스를 통해 모델을 생성할 수 있습니다.

예. Verified Permissions는 Okta, Ping Identity, CyberArk와 같은 어떠한 공급자의 자격 증명과도 함께 사용할 수 있습니다.

Cedar 정책 언어를 통해 권한을 정의할 수 있습니다. Cedar 정책은 사용자가 리소스에서 작업할 수 있는지 여부를 결정하는 permit 또는 forbid 문입니다. 정책은 리소스와 연결되며 리소스에 여러 정책을 연결할 수 있습니다. Forbid 정책은 permit 정책을 재정의합니다. 이를 통해 어떤 permit 정책이 있는지와 관계없이, 액세스를 방지하는 가드레일을 애플리케이션 내에 설정할 수 있습니다.

Cedar는 유연하고 확장 가능한 정책 기반 액세스 제어 언어로, 애플리케이션 권한을 정책으로 표현하는 데 도움이 됩니다. 관리자 및 개발자는 애플리케이션 리소스에 사용자가 작업하는 것을 허용 또는 금지하는 정책을 정의할 수 있습니다. 여러 정책을 단일 리소스에 연결할 수 있습니다. 애플리케이션의 사용자가 리소스에 작업을 수행하려고 시도할 경우 애플리케이션은 Cedar 정책 엔진에 인증 요청을 합니다. Cedar는 애플리케이션 정책을 평가하여 ALLOW 또는 DENY 결정을 반환합니다. Cedar는 모든 유형의 주체와 리소스에 대한 인증 규칙을 지원하며, 역할 기반 및 속성 기반 액세스 제어를 허용하고, 자동화된 추론 도구를 통한 분석을 지원합니다.

애플리케이션의 사용자가 리소스에 작업을 수행하려고 시도할 경우 애플리케이션은 Verified Permissions API를 호출하고 인증을 요청합니다. Verified Permissions는 요청을 해당 정책에 대해 확인하고 이 평가의 결과에 따라 ALLOW 또는 DENY 결정을 반환합니다. 이 결과를 기준으로 애플리케이션은 사용자의 작업 수행을 허용하거나 차단합니다.

애플리케이션에서 Verified Permissions API를 사용하여 정책을 생성하고 정책을 업데이트하고 리소스에 정책을 연결하고 사용자 액세스 요청을 승인합니다. 사용자가 리소스에 작업을 시도할 경우 애플리케이션은 요청을 구성합니다. 이 요청에는 사용자, 작업, 리소스에 대한 정보가 포함되며 요청은 이를 Verified Permissions로 전달합니다. 서비스에서 요청을 평가하고 ALLOW 또는 DENY 결정으로 응답합니다. 그러면 애플리케이션이 해당 결정을 적용합니다.

Verified Permissions는 권한 모델을 기준으로 생성된 정책을 검증하고 유효하지 않은 모든 정책을 거부합니다. 예를 들어 정책에 설명된 작업이 리소스 유형에 대해 유효하지 않은 경우, 애플리케이션에서 정책을 생성할 수 없게 됩니다. Verified Permissions는 정책의 완전성과 정확성을 확인하는 데 도움이 됩니다. 또한 이 서비스는 서로 직접적으로 모순되는 정책, 어떤 사용자도 액세스가 허용되지 않은 리소스, 너무 많은 액세스 권한이 부여된 사용자를 식별하는 데 도움이 됩니다. 이 서비스는 여러 애플리케이션 전체에서 수백만 개의 정책을 분석할 수 있는 자동 추론이라는 수학적 분석을 사용합니다.

Verified Permissions는 누가 무엇에 액세스할 수 있고, 누가 권한을 보고 수정할 수 있는지 결정하는 데 도움이 됩니다. 권한이 있는 사용자만이 애플리케이션의 권한을 수정할 수 있고 해당 변경 사항이 완전히 감사될 수 있도록 확인합니다. 감사자는 변경을 수행한 사용자와 해당 변경이 이루어진 시기를 볼 수 있습니다.

아니요. 정책을 작성하려면 Cedar 정책 언어를 사용해야 합니다. Cedar는 고객 애플리케이션 리소스의 권한 관리를 지원하도록 설계된 반면, IAM 정책 언어는 AWS 리소스에 대한 액세스 제어를 지원하도록 발전된 것입니다.