跳至主要內容

Amazon Verified Permissions

Amazon Verified Permissions

適用於精細授權的全受管 Cedar 服務

Verified Permissions 簡介

Amazon Verified Permissions 是全受管授權服務,使用 Cedar 政策語言,讓您能建置更安全的應用程式。使用 Verified Permissions,開發人員可透過外部化授權和集中化政策管理,更快速地建置應用程式。他們還能讓應用程式內的授權與零信任原則維持一致。安全性和稽核團隊能更好地分析和稽核誰有權存取應用程式中的哪些內容。

優勢

藉由將授權與企業邏輯脫鉤,加速應用程式開發。

藉由實作符合現代化開發工作流程的直覺式、政策型存取控制,來精簡應用程式安全性。憑藉對 Express 等常用開發架構的支援,開發人員只需幾分鐘,即可針對其應用程式實作精細化授權,從而有更多時間專注於建置各項功能。

保護應用程式資源,並管理使用者對最低權限原則的存取。

使用自動化分析確認在 Cedar 中撰寫的許可是否依預期運作,藉此大規模簡化合規稽核。

建置符合持續即時授權決策的零信任原則的應用程式。

使用案例

從範本建立政策,並在 Amazon API Gateway 和 AWS AppSync 中強制執行這些控制。

系統管理員可以建立使用 Cedar 撰寫的全應用程式政策,而開發人員可以授予使用者存取資料和資源的許可。

使用 Verified Permissions 檢閱 Cedar 政策模型變更並監控授權請求。

客戶見證

TELUS

TELUS Communications 是一間加拿大國家電信公司,提供廣泛的電信產品和服務,包括網路存取、語音、娛樂、影片和安全。TELUS 正在開發一種智慧生活解決方案,該解決方案將利用雲端技術的最新進步,在連線裝置上創造自動化體驗。TELUS 正使用 Amazon Verified Permissions 來控制攝影機和門鎖等智慧家庭裝置的許可。例如,客戶可定義許可,允許鄰居打開/關閉外面的燈,但不能解鎖大門。

「我們不可能為我們的家庭自動化使用案例編寫一個授權引擎,而我們使用 Amazon Verified Permissions,在實作許可管理的時間內可讓授權引擎變得穩定並通過測試。」

TELUS 傑出工程師 Edwin Voskamp

Missing alt text value

Grosvenor Engineering Group

Grosvenor Engineering Group 負責管理澳洲和紐西蘭 45,000 棟建築的價值 15 億的資產組合,例如暖通空調、消防控制和電氣系統。為確保高效、安全的營運,公司認識到需要建立強大的授權系統來管理建築物內資產的存取。

其中一項關鍵要求是提供精細的存取控制,允許技術人員僅存取特定建築物或建築物內的資產。這種方法透過限制授權人員和資產的存取來增強安全性,從而降低潛在風險。他們決定使用 Amazon Verified Permissions 做為授權系統,因為該系統提高了他們的安全態勢、提供了靈活性,並且具有可擴展性。

「使用 Cedar 和 Amazon Verified Permissions 來解決我們的使用案例,可協助我們實現高效能,並為我們的應用程式帶來了靈活性和規模,從長遠來看,這將產生回報。由於 AVP 採用以消費為基礎的定價模型,我們的轉換成本較低。」

Grosvenor Engineering Group 技術長 Con Tsalikis

Missing alt text value

STEDI

Stedi 是一個醫療保健資訊交換所和電子資料交換 (EDI) 平台,讓醫療保健技術企業和老牌參與者能夠交換任務關鍵型交易,例如醫療保險理賠、資格檢查等。Stedi 使用 Amazon API Gateway 對處理交易的端點存取提供保護。API 閘道呼叫 Amazon Verified Permissions,來評估用 Cedar 編寫的授權策略。這些策略可確定特定使用者可存取哪些 API 端點。

「Stedi 使用 Amazon Verified Permissions 在緊迫的時間內建置了精細的 RBAC。藉由批次授權請求和快取決策,我們能夠以低延遲方式,經濟高效地處理每月最多 7 億個請求。」

Stedi 創辦人兼執行長 Zack Kanter

Missing alt text value

Twilio

Twilio 是一種通訊平台即服務,可為開發人員提供工具,以便他們能透過語音、文字、聊天、視訊和電子郵件等管道在其應用程式中建置通訊工作流程。Twilio Flex 是 Twilio 提供的數位參與產品,讓公司能夠在其整個生命週期 (從銷售到支援) 中管理客戶互動。例如,Flex 可以設定為聯絡中心,而客戶可以透過多種渠道 (聊天、語音、電子郵件、文字) 進行聯絡,並路由至具有適當技能的客服,以處理他們的請求。Twilio Flex 自 2019 年推出後不斷成長,團隊需要實作複雜的授權,超越其以資源為基礎的初始基本許可模型,以處理更複雜的存取控制要求。他們評估了不同的授權方法,最終選擇實作 Amazon Verified Permissions,以滿足他們對精細許可的需求,同時維持高可用性。

「隨著 Twilio Flex 的演進發展,我們需要一個可與我們一起成長的授權系統。對於粗粒度存取,我們會使用字符,而該權杖會根據角色對一組 API 授與存取許可。然後,我們會使用 Amazon Verified Permissions 來管理更精細的許可 (以 Cedar 政策表示),而這些許可決定了使用者能透過這些 API 存取的資料。使用 Cedar 使我們能夠外部化我們的授權邏輯,從而簡化我們的程式碼庫並改善我們的安全狀態。Cedar 的表現力使我們能夠編寫符合客戶獨特需求的政策。AVP 的架構讓我們能夠將許可稽核的集中控制與分散式決策進行結合,從而實現效能和可靠性。」

Twilio 首席工程師 Peter Lavelle

The Redis logo featuring the word 'Redis' in white text on a red background, representing the open source, in-memory data structure store commonly used as a database, cache, and message broker.

FIS

FIS 是金融服務技術領域的全球領導者,管理 50 兆美元的年付款,並透過其業界領先的 FIS 保險風險套件 - Prophet 解決方案,為全球前 50 的保險業者中的 80% 提供服務。FIS Prophet 團隊在 80 個國家/地區擁有 10,000 名使用者,認識到需要強大的許可管理框架,才能確保遵守沙賓法案等法規,同時為精算師、模型核准者和稽核員提供精細的存取控制。

FIS 使用 Amazon Verified Permissions (AVP) 為 Prophet 建立了全面的許可管理框架。此許可框架可實現精細的存取控制,結合角色型和屬性型權限來增強安全性並實現合規性。

「使用 Amazon Verified Permissions (AVP) 和 Cedar 政策語言,我們可以在外部定義許可,並在一個集中位置管理所有政策。AVP 透過記錄每個動作 (執行者、執行時間) 來提供清晰的稽核軌跡,並安全地儲存所有這些記錄,以便在需要時進行審查。」

FIS 軟體工程師 Ana Kosutic

Missing alt text value