Вопрос. Что такое Проверенные разрешения Amazon?
Проверенные разрешения Amazon – это новый сервис, который поможет вам реализовать и обеспечить точную авторизацию ресурсов в создаваемых и развертываемых вами приложениях, например в системах управления персоналом и банковских приложениях. Благодаря Проверенным разрешениям Amazon вы можете выполнять следующие задания.
- Определять модель доступа на основе политики, описывающую ресурсы, управляемые вашим приложением, и действия (например, просмотр, обновление и совместное использование), которые пользователи могут выполнять с этими ресурсами.
- Предоставлять пользователям приложений возможность управлять доступом к этим ресурсам. Приложение создает разрешение для специалиста на просмотр и обновление записей, а затем сохраняет его в Проверенных разрешениях.
- Обеспечивать соблюдение этих разрешений.
Вопрос. Зачем использовать Проверенные разрешения Amazon?
Используйте Проверенные разрешения Amazon вместе с поставщиком удостоверений, например Amazon Cognito, для более динамичного, основанного на политиках решения по управлению доступом к вашим приложениям. Вы можете разрабатывать приложения, которые помогают конечным пользователям обмениваться информацией и сотрудничать, сохраняя при этом безопасность, конфиденциальность и неприкосновенность своих данных. С Проверенными разрешениями Amazon приложения можно разрабатывать быстрее. Сервис также помогает снизить эксплуатационные расходы благодаря системе точной авторизации для обеспечения доступа на основе ролей и атрибутов ваших удостоверений и ресурсов. Вы можете определять модель политики, создавать и хранить политики в централизованной системе, а также оценивать запросы на доступ за миллисекунды. В качестве обработчика для политик Проверенные решения Amazon могут помочь вашему приложению проверить действия пользователя в режиме реального времени согласно модели нулевого доверия. Он также находит разрешения, которые не являются действительными и имеют чрезмерные привилегии. Сервис Проверенные разрешения Amazon поддерживает управление и соответствие требованиям. Он предоставляет аудиторские инструменты для настройки, поддержания и анализа разрешений в различных приложениях, чтобы помочь идентифицировать, например, кто имеет доступ к какому ресурсу.
Вопрос. Как начать работу с сервисом?
В разделе «Безопасность, идентификация и соответствие требованиям» Консоли управления AWS откройте Проверенные разрешения Amazon. Упростите настройку вашего первого приложения с помощью мастера, который проведет вас через процесс определения модели разрешений для приложения и их создания. Затем вы можете использовать API сервиса или консоль для оценки запросов на доступ.
Вопрос. Как Проверенные разрешения Amazon работают с другими сервисами AWS?
Проверенные решения Amazon в сочетании с Amazon Cognito и другими поставщиками удостоверений являют собой динамическое решение по управлению доступом для потребительских продуктов. Разработчики приложений могут использовать Amazon Cognito для управления удостоверениями пользователей и аутентификации пользователей при входе в систему. Затем Проверенные решения Amazon могут определить, к каким ресурсам приложения разрешен доступ пользователю, который прошел аутентификацию. Вы также можете использовать этот сервис в комбинации с Центром идентификации AWS IAM для приложений по управлению персоналом.
Вопрос. Зачем нужны точные разрешения для пользовательских приложений и каким образом сервис Проверенные разрешения Amazon поддерживает их?
Точные разрешения в приложениях нужны, чтобы ограничить доступ пользователей по принципу наименьших привилегий согласно модели наименьшего доверия. Централизованная система авторизации на основе политик предоставляет разработчикам последовательный способ определения и управления точными разрешениями в приложениях, упрощает изменение правил разрешений без необходимости редактирования кода и улучшает видимость разрешений, перемещая их из кода.
Вопрос. Как определить модель доступа на основе политик Проверенных разрешений Amazon для моих пользователей, ресурсов и действий?
Вы можете создать модель доступа на основе политик, описывающую ресурсы, управляемые в приложении, и действия, которые могут быть предприняты в отношении этих ресурсов. Ресурсы могут включать удостоверения, принадлежащие не человеку, а, например, устройству или системному процессу. Вы можете создать свою модель с помощью консоли, API или интерфейса командной строки (CLI).
Вопрос. Работают ли Проверенные разрешения Amazon с другими поставщиками удостоверений, кроме Amazon Cognito?
Да. Проверенные разрешения Amazon можно использовать с удостоверениями от любого поставщика, например Okta, Ping Identity и CyberArk.
Вопрос. Как можно определять разрешения?
Вы можете определить разрешения с помощью языка политик Cedar. Политики Cedar – это разрешающие или запрещающие утверждения, которые определяют, может ли пользователь взаимодействовать с ресурсом. Политики связаны с ресурсами. К ресурсу можно привязать несколько политик. Запрещающие политики имеют приоритет над разрешающими. Это поможет вам установить ограничения в вашем приложении, которые предотвратят доступ, независимо от того, какие разрешительные политики могут быть определены.
Вопрос. Что такое Cedar?
Cedar – это гибкий, расширяемый и масштабируемый язык политик, помогающий разработчикам выражать разрешения для приложений в виде политик. Администраторы и разработчики могут определять политики, которые разрешают или запрещают пользователям взаимодействовать с ресурсами приложения. К одному ресурсу можно привязать несколько политик. Когда пользователь вашего приложения пытается выполнить действие с ресурсом, приложение делает запрос на авторизацию к обработчику политики Cedar. Cedar оценивает применимые политики и возвращает решение ALLOW (Разрешить) или DENY (Запретить). Cedar поддерживает правила авторизации для любого типа доверителей и ресурсов, позволяет управлять доступом на основе ролей и атрибутов, а также поддерживает анализ с помощью средств автоматизации логических рассуждений.
Вопрос. Как мое приложение может оценивать запросы на доступ от пользователей?
Когда пользователь вашего приложения пытается выполнить действие с ресурсом, приложение может вызвать API Проверенных разрешений Amazon с запросом на авторизацию. Проверенные разрешения Amazon сверяют запрос на соответствие соответствующим политикам и возвращают решение ALLOW (Разрешить) или DENY (Запретить), основанное на результатах этой проверки. На основании этого результата ваше приложение может либо позволить пользователю выполнить действие, либо заблокировать его.
Вопрос. Как интегрировать мое приложение с Проверенными разрешениями Amazon для создания и оценки политик сервиса?
Используйте API Проверенных разрешений Amazon в своем приложении для создания, обновления, привязки политик к ресурсам и авторизации запросов на доступ от пользователей. Когда пользователь пытается взаимодействовать с ресурсом, ваше приложение формирует запрос. Этот запрос будет включать информацию о пользователе, действии и ресурсе, чтобы передать ее в сервис Проверенные разрешения Amazon. Сервис оценит запрос и вынесет решение ALLOW (Разрешить) или DENY (Запретить). Затем ваше приложение отвечает за исполнение этого решения.
Вопрос. Как подтвердить правильность разрешений, созданных в Проверенных разрешениях Amazon?
Проверенные разрешения Amazon проверяют создаваемые вами политики на соответствие модели разрешений и отклоняют несоответствующие. Например, если действия, описанные в политике, не разрешены для данного типа ресурса, то вашему приложению будет запрещено создавать политику. Сервис Проверенные разрешения Amazon помогает проверить полноту и правильность ваших политик. С помощью сервиса также можно выявить политики, прямо противоречащие друг другу, ресурсы, к которым ни один пользователь не имеет права доступа, или пользователей со слишком привилегированным доступом. Сервис использует форму математического анализа, называемую автоматизацией логических рассуждений, которая может анализировать миллионы политик в различных приложениях.
Вопрос. Как Проверенные разрешения Amazon смогут помочь с аудитом и соответствием требованиям?
Проверенные разрешения Amazon помогают определить, кто имеет доступ к какому ресурсу и кто может просматривать и изменять разрешения. Сервис подтверждает, что только авторизованные пользователи могут изменять разрешения приложения и что изменения проходят строгий аудит. Аудиторы получают статистику о том, кто и когда вносил изменения.
Вопрос. Можно ли создавать политики в сервисе Проверенные разрешения Amazon с помощью языка политик IAM?
Нет. Для создания политик нужно использовать язык Cedar. Он разработан для поддержки управления разрешениями для ресурсов клиентских приложений, в то время как язык политик IAM создан для поддержки контроля доступа к ресурсам AWS.