Câu hỏi thường gặp về Amazon Verified Permissions

Quyền được xác minh Amazon giúp bạn áp dụng và thực thi hoạt động cấp phép ở mức độ chi tiết trong các ứng dụng do bạn xây dựng và triển khai, chẳng hạn như hệ thống quản trị nhân sự và các ứng dụng ngân hàng. Với Quyền được xác minh, bạn có thể thực hiện những tác vụ sau:

1. Xác định mô hình quyền truy cập dựa trên chính sách để mô tả những tài nguyên do ứng dụng của bạn quản lý, cũng như các hành động (chẳng hạn như xem, cập nhật và chia sẻ) mà người dùng có thể thực hiện với những tài nguyên đó.
2. Cung cấp cho người dùng ứng dụng khả năng quản lý quyền truy cập vào những tài nguyên đó. Ứng dụng sẽ tạo quyền để chuyên gia có thể xem và cập nhật các bản ghi, sau đó lưu trữ quyền này trong Quyền được xác minh.
3. Thực thi các quyền đó.

Hãy dùng Quyền được xác minh cùng với nhà cung cấp danh tính, chẳng hạn như Amazon Cognito, để có giải pháp quản lý quyền truy cập linh động, dựa trên chính sách cho các ứng dụng của bạn. Bạn có thể xây dựng các ứng dụng để giúp người dùng cuối chia sẻ thông tin và cộng tác, trong khi vẫn duy trì được sự an toàn, bảo mật và riêng tư cho dữ liệu của họ. Quyền được xác minh tạo điều kiện để bạn đẩy nhanh tốc độ xây dựng các ứng dụng. Dịch vụ này cũng góp phần giảm thiểu chi phí vận hành bằng cách cung cấp cho bạn hệ thống cấp phép ở mức độ chi tiết để thực thi quyền truy cập dựa trên vai trò và thuộc tính của danh tính và tài nguyên. Bạn có thể xác định mô hình chính sách, tạo và lưu trữ các chính sách ở một nơi tập trung, cũng như đánh giá các yêu cầu truy cập chỉ trong vài mili giây. Là một công cụ chính sách, Quyền được xác minh có thể giúp ứng dụng xác minh hành động của người dùng trong thời gian thực theo yêu cầu của nguyên tắc Zero Trust. Dịch vụ này cũng đưa ra cảnh báo về những quyền vượt quyền hạn và không hợp lệ. Quyền được xác minh hỗ trợ hoạt động quản lý và tuân thủ. Dịch vụ này cung cấp các công cụ kiểm tra giúp định cấu hình, duy trì và phân tích quyền trên nhiều ứng dụng khác nhau để trả lời các câu hỏi, chẳng hạn như ai có quyền truy cập vào tài nguyên nào.

Trong Bảng điều khiển quản lý AWS, hãy truy cập vào Quyền được xác minh Amazon từ danh mục Bảo mật, danh tính và tuân thủ. Thiết lập ứng dụng đầu tiên của bạn một cách đơn giản bằng cách làm theo trình hướng dẫn để hoàn tất quy trình xác định mô hình quyền của ứng dụng và tạo các quyền. Sau đó, bạn có thể dùng API hoặc bảng điều khiển của dịch vụ này để đánh giá các yêu cầu truy cập.

Quyền được xác minh kết hợp cùng Amazon Cognito và các dịch vụ cung cấp danh tính khác để mang đến cho bạn giải pháp quản lý quyền truy cập linh động đối với các ứng dụng của khách hàng. Nhà phát triển ứng dụng có thể dùng Amazon Cognito để quản lý danh tính người dùng và xác thực người dùng ở bước đăng nhập. Sau đó, Quyền được xác minh có thể xác định xem người dùng đã xác thực được phép sử dụng những tài nguyên nào trong ứng dụng. Bạn cũng có thể dùng dịch vụ này cùng với Trung tâm danh tính IAM cho các ứng dụng quản lý lực lượng lao động.

Bạn cần cấp phép ở mức độ chi tiết trong ứng dụng để giới hạn quyền truy cập của người dùng đến mức đặc quyền tối thiểu, theo yêu cầu của kiến trúc Zero Trust. Hệ thống cấp phép tập trung dựa trên chính sách mang đến cho nhà phát triển một giải pháp nhất quán để xác định và quản lý xác thực ở mức độ chi tiết trên nhiều ứng dụng, đơn giản hóa các quy tắc về quyền luôn biến động mà không cần thay đổi mã, cũng như cải thiện khả năng hiển thị cho quyền bằng cách tách các quyền ra khỏi mã.

Bạn có thể tạo mô hình quyền truy cập dựa trên chính sách để mô tả những tài nguyên do ứng dụng quản lý và các hành động có thể được thực hiện đối với những tài nguyên đó. Những tài nguyên này có thể bao gồm cả danh tính không phải của con người, chẳng hạn như danh tính thiết bị hoặc quá trình hệ thống. Bạn có thể tạo mô hình này bằng cách dùng bảng điều khiển, API hoặc giao diện dòng lệnh.

Có, Quyền được xác minh có thể được dùng với các dịch vụ cung cấp danh tính, chẳng hạn như Okta, Ping Identity và CyberArk.

Bạn có thể dùng ngôn ngữ chính sách Cedar để xác định các quyền. Chính sách Cedar là các câu lệnh cho phép hoặc ngăn cấm, giúp xác định xem người dùng có thể thực hiện hành động đối với tài nguyên hay không. Chính sách sẽ liên kết với tài nguyên và bạn có thể gán nhiều chính sách cho một tài nguyên. Chính sách ngăn cấm sẽ được ưu tiên hơn chính sách cho phép. Điều này giúp bạn thiết lập các quy tắc bảo vệ trong ứng dụng để ngăn chặn quyền truy cập, bất kể có hay không chính sách cho phép.

Cedar là ngôn ngữ kiểm soát dựa trên chính sách linh hoạt, có khả năng điều chỉnh quy mô và khả năng mở rộng, giúp nhà phát triển thể hiện các quyền ứng dụng dưới dạng chính sách. Quản trị viên và nhà phát triển có thể xác định các quyền để cho phép hoặc ngăn cấm người dùng thực hiện hành động đối với các tài nguyên trong ứng dụng. Nhiều chính sách có thể được gán cho một tài nguyên. Khi người dùng tìm cách thực hiện một hành động đối với tài nguyên, ứng dụng sẽ gửi yêu cầu xác thực đến công cụ chính sách Cedar. Khi đó, Cedar sẽ đánh giá các chính sách hiện hành, rồi trả về quyết định CHO PHÉP hoặc CẤM. Cedar hỗ trợ các quy tắc xác thực cho mọi loại tài nguyên và đối tượng nhận quyền, cho phép kiểm soát quyền truy cập dựa trên vai trò và thuộc tính, đồng thời hỗ trợ hoạt động phân tích thông qua các công cụ nêu lý do tự động.

Khi người dùng tìm cách thực hiện một hành động đối với tài nguyên, ứng dụng có thể gọi API Quyền được xác minh bằng yêu cầu cấp phép. Khi đó, Quyền được xác minh sẽ đối chiếu yêu cầu với các chính sách có liên quan rồi trả về quyết định CHO PHÉP hoặc TỪ CHỐI dựa trên kết quả đánh giá. Dựa trên kết quả này, ứng dụng có thể cho phép hoặc chặn người dùng thực hiện hành động.

Hãy dùng API Quyền được xác minh trong ứng dụng của bạn để tạo, cập nhật chính sách, gán chính sách cho tài nguyên và xác thực yêu cầu truy cập của người dùng. Khi người dùng tìm cách thực hiện hành động đối với tài nguyên, ứng dụng sẽ tạo một yêu cầu. Yêu cầu này bao gồm thông tin về người dùng, hành động cũng như tài nguyên và sẽ chuyển thông tin đó cho Quyền được xác minh. Dịch vụ này đánh giá yêu cầu nhận được rồi đưa ra quyết định CHO PHÉP hoặc TỪ CHỐI. Sau đó, ứng dụng sẽ chịu trách nhiệm thực thi quyết định đó.

Quyền được xác minh xác minh chính sách bạn đã tạo so với mô hình quyền và từ chối mọi chính sách không hợp lệ. Ví dụ: nếu các hành động được mô tả trong chính sách không hợp lệ đối với loại tài nguyên, ứng dụng sẽ ngăn việc tạo chính sách. Quyền được xác minh giúp bạn xác minh tính đầy đủ và chính xác của chính các chính sách. Với dịch vụ này, bạn cũng có thể xác định những chính sách mâu thuẫn trực tiếp với nhau, những tài nguyên mà chưa có người dùng nào được phép truy cập, hay những người dùng có quyền truy cập vượt quyền hạn. Dịch vụ này sử dụng một dạng phân tích toán học gọi là suy luận tự động, có thể phân tích hàng triệu chính sách trên nhiều ứng dụng khác nhau.

Quyền được xác minh giúp bạn xác định xem ai có quyền truy cập vào tài nguyên nào, cũng như ai có thể xem và sửa đổi các quyền. Dịch vụ này đảm bảo rằng chỉ những người dùng đã xác thực mới có thể sửa đổi các quyền của ứng dụng và những thay đổi đó là hoàn toàn hợp lệ. Người kiểm tra biết được ai đã thực hiện thay đổi và vào thời gian nào.

Không. Bạn phải sử dụng ngôn ngữ chính sách Cedar để tạo các chính sách. Trong khi Cedar được thiết kế để hỗ trợ việc quản lý quyền cho các tài nguyên trong ứng dụng của khách hàng, ngôn ngữ chính sách IAM thì được phát triển để hỗ trợ việc kiểm soát quyền truy cập đối với các tài nguyên AWS.