Recursos do Amazon Verified Permissions

Com suporte ao Cedar, você pode definir seu esquema em termos de cada tipo de entidade, incluindo atributos relevantes ao modelo de autorização e as combinações válidas de tipos principais, tipos de recursos e ações. O Verified Permissions usa o esquema para validar se uma política estática ou um modelo de política é consistente com o modelo de autorização da aplicação. Você pode usar JSON para definir um esquema no Verified Permissions. Ele tem certa semelhança com o esquema JSON, mas usa aspectos exclusivos da linguagem de políticas Cedar. É possível definir grupos de ação em seu esquema, que são políticas que permitem ou proíbem grupos de ações.

Conecte sua aplicação ao serviço por meio da API para autorizar solicitações de acesso dos usuários. Para cada solicitação de autorização, o serviço recupera as políticas relevantes e avalia essas políticas baseadas no Cedar para determinar se um usuário tem permissão para realizar uma ação em um recurso com base em entradas de contexto, como usuários, funções, associação a grupos e atributos.

Um repositório de políticas é um contêiner de políticas baseadas em Cedar em Permissões Verificadas que é logicamente isolado de outros contêineres. É possível criar todas as suas relações e configurações hierárquicas em um único armazenamento de políticas para diferenciar políticas e modelos de políticas de outros armazenamentos de políticas. Os armazenamentos de políticas geralmente são mapeados para cada aplicação e permitem criar configurações e regras de esquema diferentes entre vários locatários sem compartilhamento ou conexão entre eles. Por exemplo, você pode ter um armazenamento de políticas separado para cada uso de uma aplicação do Verified Permissions; é possível excluir o armazenamento de políticas de um locatário sem afetar recursos, esquemas, políticas e modelos de políticas de outro armazenamento de políticas.

A bancada de testes é uma ferramenta para testar e solucionar problemas de políticas de permissões verificadas executando uma solicitação de autorização simulada em todas as políticas baseadas em Cedar em seu repositório de políticas. O banco de testes usa os parâmetros especificados para determinar se as políticas de seu armazenamento de políticas autorizariam a solicitação.

Você pode usar um modelo de política, que é uma declaração de política baseada em Cedar com espaços reservados no escopo que devem ser preenchidos com valores específicos. O modelo de política pode ter espaços reservados para a entidade principal, para o recurso ou ambos. As atualizações do modelo de política são aplicadas a todas as entidades principais e recursos que usam o modelo, também conhecido como política vinculada ao modelo.

Recomendamos o uso de modelos de política para criar políticas baseadas na linguagem Cedar que podem ser compartilhadas na aplicação. Por exemplo, você pode criar um modelo de política para um editor que forneça permissões de leitura, edição e comentário para a entidade principal e o recurso que usam o modelo de política. Você também pode usar modelos de política para definir controles de acesso de granulação grossa, média e refinada para suas aplicações. Por exemplo, você pode usar modelos de política para atribuir usuários específicos a um grupo, controles de detalhamento médio para atribuir acesso a recursos específicos e controles detalhados para os atributos mais granulares dos recursos.

Usando as APIs do Verified Permissions, é possível executar consultas específicas nas políticas armazenadas no Verified Permissions. Você pode consultar suas políticas para determinar quais serão aplicadas a entidades principais específicas, a recursos específicos ou a ambos.

Você pode configurar e conectar o Verified Permissions para enviar seus logs de autorização e gerenciamento de políticas ao AWS CloudTrail.

Você pode passar seu token de autenticação do Amazon Cognito para uma solicitação de autorização executada pelo Verified Permissions. Isso permite passar os atributos do provedor de identidade diretamente para uma avaliação de política e, portanto, para uma decisão de autorização gerada pelo Verified Permissions.

O Verified Permissions é integrado ao CloudFormation, um serviço que ajuda a modelar e configurar recursos da AWS para que você possa gastar menos tempo criando e gerenciando recursos e infraestrutura. Crie um modelo que descreva todos os recursos da AWS desejados, e o CloudFormation provisionará e configurará esses recursos para você.

O SDK do Verified Permissions está disponível usando C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust e Swift.

Permite que desenvolvedores protejam as APIs por meio do Amazon API Gateway usando um assistente de início rápido que simplifica a implementação do controle de acesso baseado em funções (RBAC).

Permite que desenvolvedores de aplicações web Express implementem rapidamente autorização em nível de API com o Amazon Verified Permissions adicionando o mínimo de código às aplicações existentes.