- 安全、身分和合規›
- Amazon Verified Permissions›
- 常見問答集
Amazon Verified Permissions 常見問答集
Page Topics
一般問題一般問題
什麼是 Amazon Verified Permissions?
Verified Permissions 可協助您在自己建置部署的應用程式 (如 HR 系統和銀行應用程式) 資源中實施精細授權。藉由 Verified Permissions,您可以執行以下任務:
- 定義以政策為基礎的存取模型,該模型可描述您的應用程式管理的資源,以及使用者可以在這些資源上執行的動作,例如:檢視、更新和分享。
- 讓應用程式使用者能夠管理這些資源的存取權。該應用程式為專家們建立許可,用於檢視和更新記錄,並將內容儲存於 Verified Permissions。
- 實施這些許可。
為什麼要使用 Verified Permissions?
搭配使用 Verified Permissions 和 Amazon Cognito 等身分提供者,為應用程式提供更動態、以政策為基礎的存取管理解決方案。您可以建置應用程式,協助終端使用者分享資訊與協作,同時確保資料的安全性、保密性和隱私。Verified Permissions 協助您更快速地建置應用程式。該功能還可提供您精細授權系統,以根據您的身分與資源的角色和屬性實施存取權,進而有助於降低營運成本。您可以自行定義政策模型,在一個集中位置建立和存放政策,並立即評估存取要求。Verified Permissions 是一款政策引擎,能夠協助您的應用程式如零信任所要求,即時驗證使用者動作。同時也會標記超出權限和無效的許可。Verified Permissions 支援管控與合規。此服務提供稽核工具,以在多個應用程式中設定、維護和分析許可,進一步協助回答問題,而問題則如誰擁有哪些存取權。
我該如何開始?
在 AWS 管理主控台的安全、身分及合規項下,存取 Amazon Verified Permissions。使用精靈引導您定義應用程式許可模式和建立許可,藉此簡化首個應用程式的建立過程。您便能用該服務 API 或主控台評估存取要求。
Verified Permissions 如何與其他的 AWS 服務搭配使用?
Verified Permissions、Amazon Cognito 和其他身分提供者為消費者應用程式提供您動態存取管理解決方案。應用程式開發人員可以用 Amazon Cognito 管理使用者身分,並在登入時驗證使用者。接著,Verified Permissions 可以決定通過身分驗證的使用者能存取哪些應用程式資源。您也可以針對人力應用程式搭配使用 IAM Identity Center。
為什麼我需要對我建置的應用程式進行精細授權,以及 Verified Permissions 如何支援這些應用程式?
您的應用程式需要精細授權,才能如零信任架構所要求,限制使用者僅存取最低權限。以政策為基礎的中央授權系統為開發人員提供始終一致的方式,來定義和管理跨應用程式的精細授權,簡化變更權限規則,而無需變更程式碼。除此之外,也將權限移出程式碼,以提高權限可見性。
我該如何為我的使用者、資源和動作定義 Verified Permissions 以政策為基礎的存取模型?
您可以建立一個以政策為基礎的存取模型,描述您的應用程式所管理的資源,以及可對這些資源執行的動作。這些資源可為非真人身分,例如裝置或系統程序。您可以透過主控台、API 或命令列介面建立模型。
Verified Permissions 可以與 Amazon Cognito 以外的身分提供者搭配使用嗎?
可以。Verified Permissions 可與來自 Okta、Ping Identity 和 CyberArk 等身分提供者的身分搭配使用。
我該如何定義許可?
您可以透過 Cedar 政策語言定義許可。Cedar 是決定使用者能否於資源執行動作的許可或禁止陳述式。政策與資源關聯,並且您可以將多項政策連接至資源。禁止政策會覆寫許可政策。如此一來,無論許可政策為何,都能於預防存取的應用程式內建立防護機制。
什麼是 Cedar?
Cedar 是一種具彈性且可擴展的政策型存取控制語言,可協助開發人員以政策形式呈現應用程式許可。管理員和開發人員可定義政策,允許或禁止使用者在應用程式資源上執行動作。一個資源上可以附加多個政策。如果您的應用程式使用者要在資源上執行動作,應用程式會向 Cedar 政策引擎提交授權要求。Cedar 會評估可套用的政策,並回傳允許或拒絕決定。Cedar 支援任何主體和資源的授權規則,允許以屬性為基礎和以角色為基礎的存取控制,並透過自動推理工具支援分析。
我的應用程式如何評估來自使用者的存取要求?
應用程式使用者要在資源上執行動作時,應用程式可以授權要求呼叫 Verified Permissions API。Verified Permissions 會核對該要求與相關政策,根據評估結果回傳允許或拒絕決定。根據此結果,應用程式會允許或拒絕使用者執行該動作。
該如何整合我的應用程式和 Verified Permissions,以建立和評估 Verified Permissions 政策?
在您的應用程式使用 Verified Permissions API 以建立、更新政策,或將政策附加於資源,並授權使用者的存取要求。使用者要在資源上執行動作時,應用程式會建構一則請求。該請求包含使用者、動作、資源等資訊,並傳遞至 Verified Permissions。此服務會評估該要求,並回傳「允許」或「拒絕」決定。接著,應用程式須根據該決定執行動作。
我要如何確認在 Verified Permissions 建立的許可是正確的?
Verified Permissions 會驗證您針對許可模型建立的政策,並拒絕所有無效政策。例如,若該政策描述的動作對該種資源類型無效,應用程式便無法建立該政策。Verified Permissions 協助您驗證政策的完整性與正確性。此服務也協助您識別出相互牴觸的政策、從未受使用者存取的資源,或超出存取權限的使用者。此服務使用所謂自動推理的數學分析法,分析多個應用程式中數百萬的政策。
Verified Permissions 如何協助我滿足合規要求與稽核?
Verified Permissions 協助您決定誰擁有哪些存取權,以及誰可以檢視和修改權限。透過如此,便可確定只有授權使用者能修改應用程式的許可,且變更皆會經過完整稽核。稽核員會知道該變更的執行者與執行時間。
我是否可以使用 IAM 政策語言在 Verified Permissions 中建立政策?
否。您必須使用 Cedar 政策語言來編寫政策。Cedar 政策語言旨在支援消費者應用程式資源的許可管理,而 IAM 政策語言則經過演進以支援 AWS 資源的存取控制。