Recursos do Amazon Verified Permissions

Um armazenamento de políticas corresponde a um contêiner de políticas baseadas na linguagem Cedar no Verified Permissions que é logicamente isolado de outros contêineres. É possível criar todas as suas relações e configurações hierárquicas em um único armazenamento de políticas para diferenciar políticas e modelos de políticas de outros armazenamentos de políticas. Os armazenamentos de políticas geralmente são mapeados para cada aplicação e permitem criar configurações e regras de esquema diferentes entre vários locatários sem compartilhamento ou conexão entre eles. Por exemplo, você pode ter um armazenamento de políticas separado para cada uso de uma aplicação do Verified Permissions; é possível excluir o armazenamento de políticas de um locatário sem afetar recursos, esquemas, políticas e modelos de políticas de outro armazenamento de políticas.

O banco de testes corresponde a uma ferramenta desenvolvida para testes e soluções de problemas de políticas do Verified Permissions ao executar uma solicitação de autorização simulada em todas as políticas baseadas na linguagem Cedar no armazenamento de políticas. O banco de testes usa os parâmetros especificados para determinar se as políticas de seu armazenamento de políticas autorizariam a solicitação.

É possível usar um modelo de política, o que corresponde a uma declaração de política baseada na linguagem Cedar com espaços reservados no escopo que devem ser preenchidos com valores específicos. O modelo de política pode ter espaços reservados para a entidade principal, para o recurso ou ambos. As atualizações do modelo de política são aplicadas a todas as entidades principais e recursos que usam o modelo, também conhecido como política vinculada ao modelo.

Recomendamos o uso de modelos de política para criar políticas baseadas na linguagem Cedar que podem ser compartilhadas na aplicação. Por exemplo, você pode criar um modelo de política para um editor que forneça permissões de leitura, edição e comentário para a entidade principal e o recurso que usam o modelo de política. Você também pode usar modelos de política para definir controles de acesso de granulação grossa, média e refinada para suas aplicações. Por exemplo, você pode usar modelos de política para atribuir usuários específicos a um grupo, controles de detalhamento médio para atribuir acesso a recursos específicos e controles detalhados para os atributos mais granulares dos recursos.

Usando as APIs do Verified Permissions, é possível executar consultas específicas nas políticas armazenadas no Verified Permissions. Você pode consultar suas políticas para determinar quais serão aplicadas a entidades principais específicas, a recursos específicos ou a ambos.

Você pode configurar e conectar o Verified Permissions para enviar seus logs de autorização e gerenciamento de políticas ao AWS CloudTrail.

Você pode passar seu token de autenticação do Amazon Cognito para uma solicitação de autorização executada pelo Verified Permissions. Isso permite passar os atributos do provedor de identidade diretamente para uma avaliação de política e, portanto, para uma decisão de autorização gerada pelo Verified Permissions.

O Verified Permissions é integrado ao CloudFormation, um serviço que ajuda a modelar e configurar recursos da AWS para que você possa gastar menos tempo criando e gerenciando recursos e infraestrutura. Crie um modelo que descreva todos os recursos da AWS desejados, e o CloudFormation provisionará e configurará esses recursos para você.

O SDK do Verified Permissions está disponível usando C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust e Swift.