Вопросы и ответы о Проверенных разрешениях Amazon

Проверенные разрешения – это сервис, который поможет вам реализовать и обеспечить точную авторизацию ресурсов в создаваемых и развертываемых вами приложениях, например в системах управления персоналом и банковских приложениях. Благодаря Проверенным разрешениям вы можете выполнять следующие задания.

1. Определять модель доступа на основе политики, описывающую ресурсы, управляемые вашим приложением, и действия (например, просмотр, обновление и совместное использование), которые пользователи могут выполнять с этими ресурсами.
2. Предоставлять пользователям приложений возможность управлять доступом к этим ресурсам. Приложение создает разрешение для специалиста на просмотр и обновление записей, а затем сохраняет его в Проверенных разрешениях.
3. Обеспечивать соблюдение этих разрешений.

Используйте Проверенные разрешения вместе с поставщиком удостоверений, например Amazon Cognito, для более динамичного, основанного на политиках решения по управлению доступом к вашим приложениям. Вы можете разрабатывать приложения, которые помогают конечным пользователям обмениваться информацией и сотрудничать, сохраняя при этом безопасность, конфиденциальность и неприкосновенность своих данных. С Проверенными разрешениями приложения можно разрабатывать быстрее. Сервис также помогает снизить эксплуатационные расходы благодаря системе точной авторизации для обеспечения доступа на основе ролей и атрибутов ваших удостоверений и ресурсов. Вы можете определять модель политики, создавать и хранить политики в централизованной системе, а также оценивать запросы на доступ за миллисекунды. В качестве обработчика для политик Проверенные решения могут помочь вашему приложению проверить действия пользователя в режиме реального времени согласно модели нулевого доверия. Он также находит разрешения, которые имеют чрезмерные привилегии и не являются действительными. Сервис «Проверенные разрешения» поддерживает управление и соответствие требованиям. Он предоставляет аудиторские инструменты для настройки, поддержания и анализа разрешений в различных приложениях, чтобы помочь идентифицировать, например, кто к какому ресурсу имеет доступ.

В разделе «Безопасность, идентификация и соответствие требованиям» Консоли управления AWS откройте Проверенные разрешения Amazon. Упростите настройку вашего первого приложения с помощью мастера, который проведет вас через процесс определения модели разрешений для приложения и их создания. Затем вы можете использовать API сервиса или консоль для оценки запросов на доступ.

Сервис Проверенные решения в сочетании с Amazon Cognito и другими поставщиками удостоверений являет собой динамическое решение по управлению доступом для потребительских продуктов. Разработчики приложений могут использовать Amazon Cognito для управления удостоверениями пользователей и аутентификации пользователей при входе в систему. Затем Проверенные решения могут определить, к каким ресурсам приложения разрешен доступ пользователю, который прошел аутентификацию. Вы также можете использовать этот сервис в комбинации с Центром идентификации IAM для приложений по управлению персоналом.

Точная авторизация в приложениях нужна, чтобы ограничить доступ пользователей по принципу наименьших привилегий согласно модели наименьшего доверия. Централизованная система авторизации на основе политик предоставляет разработчикам последовательный способ определения и управления точной авторизацией в приложениях, упрощает изменение правил разрешений без необходимости редактирования кода и улучшает видимость разрешений, перемещая их из кода.

Вы можете создать модель доступа на основе политик, описывающую ресурсы, управляемые в приложении, и действия, которые могут быть предприняты в отношении этих ресурсов. Ресурсы могут включать удостоверения, принадлежащие не человеку, а, например, устройству или системному процессу. Вы можете создать свою модель с помощью консоли, API или интерфейса командной строки.

Да. Проверенные разрешения можно использовать с удостоверениями от поставщиков, таких как Okta, Ping Identity и CyberArk.

Вы можете определить разрешения с помощью языка политик Cedar. Политики Cedar – это разрешающие или запрещающие утверждения, которые определяют, может ли пользователь взаимодействовать с ресурсом. Политики связаны с ресурсами, и к ресурсу можно прикрепить несколько политик. Запрещающие политики имеют приоритет над разрешающими. Это поможет вам установить в приложении ограничения, которые предотвратят доступ, независимо от того, какие разрешительные политики могут быть определены.

Cedar – это гибкий, расширяемый и масштабируемый язык управления доступом на основе политик, помогающий разработчикам выражать разрешения для приложений в виде политик. Администраторы и разработчики могут определять политики, которые разрешают или запрещают пользователям взаимодействовать с ресурсами приложения. К одному ресурсу можно привязать несколько политик. Когда пользователь вашего приложения пытается выполнить действие с ресурсом, приложение делает запрос на авторизацию к обработчику политики Cedar. Cedar оценивает применимые политики и возвращает решение ALLOW (Разрешить) или DENY (Запретить). Cedar поддерживает правила авторизации для любого типа доверителей и ресурсов, позволяет управлять доступом на основе ролей и атрибутов, а также поддерживает анализ с помощью средств автоматизации логических рассуждений.

Когда пользователь вашего приложения пытается выполнить действие с ресурсом, приложение может вызвать API Проверенных разрешений с запросом на авторизацию. Сервис «Проверенные разрешения» сверяет запрос на соответствие соответствующим политикам и возвращает решение ALLOW (Разрешить) или DENY (Запретить), основанное на результатах этой проверки. На основании этого результата ваше приложение может либо позволить пользователю выполнить действие, либо заблокировать его.

Используйте API Проверенных разрешений в своем приложении для создания, обновления, привязки политик к ресурсам и авторизации запросов на доступ от пользователей. Когда пользователь пытается взаимодействовать с ресурсом, ваше приложение формирует запрос. Этот запрос включает информацию о пользователе, действии и ресурсе, чтобы передать ее в сервис «Проверенные разрешения». Сервис оценивает запрос и выносит решение ALLOW (Разрешить) или DENY (Запретить). Затем ваше приложение отвечает за исполнение этого решения.

Этот сервис проверяет создаваемые вами политики на соответствие модели разрешений и отклоняет несоответствующие. Например, если действия, описанные в политике, не разрешены для данного типа ресурса, то вашему приложению будет запрещено создавать политику. Сервис «Проверенные разрешения» помогает проверить полноту и правильность ваших политик. С помощью сервиса также можно выявить политики, прямо противоречащие друг другу, ресурсы, к которым ни один пользователь не имеет права доступа, или пользователей со слишком привилегированным доступом. Сервис использует форму математического анализа, называемую автоматизированные рассуждения, которая может анализировать миллионы политик в различных приложениях.

Сервис «Проверенные разрешения» помогает определить, кто и к какому ресурсу имеет доступ, а также кто может просматривать и изменять разрешения. Сервис подтверждает, что только авторизованные пользователи могут изменять разрешения приложения и что изменения проходят строгий аудит. Аудиторы получают статистику о том, кто и когда вносил изменения.

Нет. Для создания политик необходимо использовать язык политики Cedar. В то время как Cedar разработан для поддержки управления разрешениями для ресурсов клиентских приложений, язык политик IAM создан для поддержки контроля доступа к ресурсам AWS.