Amazon Verified Permissions 功能

有了 Cedar 的支援，您可以根據每個實體類型來定義綱要，包括與授權模型相關的屬性以及主類型、資源類型和動作的有效組合。Verified Permissions 使用結構描述來驗證靜態政策或政策範本是否與應用程式的授權模型一致。您可以使用 JSON 在 Verified Permissions 中定義結構描述。它與 JSON 結構描述有些相似之處，但會使用 Cedar 政策語言的獨特方面。您可以在結構描述中定義動作群組，其為允許或禁止一組動作的政策。

透過 API 將您的應用程式連接至此服務，以授權使用者存取要求。針對每個授權請求，服務會擷取相關原則，並評估這些以 Cedar 為基礎的原則，以判斷使用者是否允許使用者對指定前後關聯輸入的資源執行動作，例如使用者、角色、群組成員資格和屬性。

原則儲存區是「已驗證權限」中以 Cedar 為基礎原則的容器，從邏輯上與其他容器隔離。您可以在單一政策存放區中建立所有階層式關係和組態，以區分政策和政策範本與其他政策存放區。政策存放區通常會對應至每個應用程式，讓您能跨多個租用戶建立不同的組態和結構描述規則，而無需在租用戶之間共用或連接。例如，您可以為每個租用戶使用 Verified Permissions 應用程式建立個別的政策存放區；您可以刪除一個租用戶的政策存放區，而不會影響其他政策存放區的資源、結構描述、政策和政策範本。

測試工具是針對策略存放區中所有以 Cedar 為基礎的策略執行模擬授權請求，來測試和疑難排解已驗證權限原則的工具。測試台會使用您指定的參數來決定政策存放區中的政策是否授權要求。

您可以使用策略範本，這是以 Cedar 為基礎的政策聲明，其範圍中包含預留位置，該範圍中要用特定值填入的預留位置。政策範本可以有主體、資源或兩者的預留位置。政策範本的更新會反映在使用該範本的所有主體和資源中，亦稱為範本連結的策略。

建議您使用政策範本來建立可在整個應用程式中共用之以 Cedar 為基礎的政策。例如，您可以為編輯器建立政策範本，為使用該政策範本的主體和資源提供讀取、編輯和註解權限。您也可以使用政策範本為應用程式定義粗略、中等和精細的存取控制。例如，您可以使用政策範本將特定使用者指派給群組、將存取權指派給特定資源的中等細度控制項，以及針對資源上最精細的屬性進行精細控制。

使用 Verified Permissions API，您可以針對儲存在 Verified Permissions 中的政策執行特定查詢。您可以查詢政策，以決定哪些政策適用於特定主體、特定資源或同時適用於兩者。

您可以設定並連接 Verified Permissions，將政策管理和授權日誌傳送至 AWS CloudTrail。

您可以將身分驗證字符從 Amazon Cognito 傳遞到透過 Verified Permissions 執行的授權請求中。這可讓您將身分提供者屬性直接傳遞至政策評估中，進而傳遞由 Verified Permissions 產生的授權決策。

Verified Permissions 與 CloudFormation 整合，該服務可協助您建立 AWS 資源模型和設定，以減少建立和管理資源和基礎設施的時間。您可以建立一個範本來描述所需的所有 AWS 資源，然後 CloudFormation 會為您佈建和設定這些資源。

Verified Permissions SDK 可使用 C++、Go、Java、JavaScript、Kotlin、.NET、Node.js、PHP、Python、Ruby、Rust 和 Swift。

讓開發人員能夠使用可簡化角色型存取控制 (RBAC) 實作的 Quick Start 精靈，透過 Amazon API Gateway 來保護 API。

允許 Express Web 應用程式開發人員將最低限度的程式碼新增至現有應用程式，藉此使用 Amazon Verified Permissions 來快速實作 API 層級授權。