Amazon Verified Permissions のよくある質問

Verified Permissions は、HR システムや銀行取引アプリケーションなどの、ユーザーが構築してデプロイするアプリケーション内のリソースに対するきめ細かな承認を実装して実施するのに役立ちます。Verified Permissions を使用することで、以下のタスクを実行できます。

1. アプリケーションによって管理されるリソースと、これらのリソースに対してユーザーが実行できるアクション (表示、更新、共有など) を記述するポリシーベースのアクセスモデルを定義します。
2. これらのリソースへのアクセスを管理する能力をアプリケーションユーザーに提供します。アプリケーションは、スペシャリストがレコードを表示して更新するための許可を作成してから、それを Verified Permissions に保存します。
3. これらの許可を適用します。

Verified Permissions は、アプリケーション用のより動的なポリシーベースのアクセス管理ソリューションのために、Amazon Cognito などのアイデンティティプロバイダーとともに使用します。エンドユーザーがデータのセキュリティ、機密性、およびプライバシーを維持しながら、情報を共有してコラボレートできるようにするアプリケーションを構築できます。Verified Permissions は、アプリケーションをより迅速に構築するために役立ちます。また、アイデンティティとリソースの役割と属性に基づいたアクセス権を適用するためのきめ細かな承認システムを提供することによって、運用コストの削減にも役立ちます。ポリシーモデルの定義、一元的な場所でのポリシーの作成と保存、および数ミリ秒でのアクセスリクエストの評価が可能です。ポリシーエンジンとして、Verified Permissions は、アプリケーションがゼロトラストの要件に応じて、ユーザーアクションをリアルタイムで検証できるようにします。過剰な特権を持ち、有効ではないアクセス許可も特定します。Verified Permissions はガバナンスとコンプライアンスをサポートします。複数の多様なアプリケーション全体で許可の設定、維持、および分析を行うための監査ツールを提供して、誰が何にアクセスできるかなどの質問に答えられるようにします。

AWS マネジメントコンソールで、セキュリティ、ID、およびコンプライアンスの Amazon Verified Permissions にアクセスしてください。アプリケーションの許可モデルを定義して許可を作成するプロセスを詳しく説明するウィザードを使用して、最初のアプリケーションのセットアップを簡素化してください。その後、サービス API またはコンソールを使用してアクセスリクエストを評価できるようになります。

Verified Permissions は、Amazon Cognito およびその他のアイデンティティプロバイダーと組み合わせることによって、コンシューマーアプリケーションのための動的なアクセス管理ソリューションを提供します。アプリケーションデベロッパーは、Amazon Cognito を使用してユーザーアイデンティティを管理し、サインイン時にユーザーを認証できます。Verified Permissions はその後、認証されたユーザーがアクセスできるアプリケーションリソースを判断することができます。このサービスは、ワークフォースアプリケーションのために IAM アイデンティティセンターと併用することもできます。

ゼロトラストアーキテクチャの要件に応じて、アプリケーションにはユーザーアクセスを最小特権に制限するためのきめ細かな承認が必要です。一元的なポリシーベースの承認システムは、アプリケーション全体できめ細かな承認を定義して管理するための一貫的な手段をデベロッパーに提供し、コードを変更する必要なく許可ルールを変更できるように簡素化して、それらをコード外に移動させることで許可に対する可視性を向上させます。

アプリケーション管理のリソースと、これらのリソースに対して実行できるアクションを記述するポリシーベースのアクセスモデルを作成できます。これらのリソースには、デバイスやシステムプロセスなどの人間以外のもののアイデンティティを含めることができます。モデルは、コンソール、API、またはコマンドラインインターフェイスを通じて作成できます。

はい。Verified Permissions は、Okta、Ping Identity、および CyberArk などのプロバイダーからのアイデンティティと併用できます。

許可は、Cedar ポリシー言語を使用して定義できます。Cedar ポリシーは、ユーザーがリソースに対してアクションを実行できるかどうかを決定するステートメントを許可または禁止します。ポリシーはリソースに関連付けられており、1 つのリソースに複数のポリシーをアタッチできます。禁止ポリシーは、許可ポリシーより優先します。これは、どのような許可ポリシーが設定されているかにかかわらず、アクセスを阻止するガードレールをアプリケーション内に確立するのに役立ちます。

Cedar とは、拡張可能かつスケーラブルで柔軟なポリシーベースのアクセス制御言語で、デベロッパーがアプリケーションの許可をポリシーとして表現するのに役立ちます。管理者とデベロッパーは、ユーザーがアプリケーションリソースに対してアクションを実行することを許可または禁止するポリシーを定義できます。単一のインスタンスに複数のボリュームをアタッチすることが可能です。アプリケーションのユーザーがリソースに対してアクションを実行しようとすると、アプリケーションが Cedar ポリシーエンジンに承認リクエストを行います。Cedar はアプリケーションポリシーを評価して、ALLOW または DENY 判定を返します。Cedar はあらゆるタイプのプリンシパルとリソースに対する承認ルールをサポートし、ロールベースおよび属性ベースのアクセスコントロールを可能にして、自動化された推論ツールを使用した分析をサポートします。

アプリケーションのユーザーがリソースに対してアクションを実行しようとする場合、アプリケーションは承認リクエストで Verified Permissions API を呼び出すことができます。Verified Permissions は関連するポリシーに照らしてリクエストを検証し、評価の結果に基づいて ALLOW または DENY 判定を返します。アプリケーションは、この結果に基づいてユーザーにアクションの実行を許可するか、ブロックすることができます。

アプリケーションで Verified Permissions API を使用して、ポリシーの作成、ポリシーの更新、リソースへのポリシーのアタッチ、およびユーザーアクセスリクエストの承認を行います。ユーザーがリソースに対してアクションを実行しようとすると、アプリケーションがリクエストを構築します。このリクエストは、ユーザー、アクション、およびリソースに関する情報を含んでおり、それを Verified Permissions に渡します。サービスがリクエストを評価し、ALLOW または DENY 判定で応答します。その後、アプリケーションがその判定を実施する責任を引き受けます。

Verified Permissions は、作成されたポリシーを許可モデルと照合して検証し、有効ではないポリシーを拒否します。例えば、ポリシー内に記述されているアクションがリソースタイプに対して有効ではない場合、アプリケーションはそのポリシーを作成できなくなります。Verified Permissions は、ポリシーの完全性と正確性を検証するために役立ちます。このサービスは、互いに直接相反するポリシー、ユーザーによるアクセスが一切許可されないリソース、または過剰な特権を伴うアクセス権を持つユーザーを特定するためにも役立ちます。サービスは、複数のアプリケーション全体で何百万ものポリシーを分析することが可能な、自動推論と呼ばれる数学的分析の一種を使用します。

Verified Permissions は、誰が何にアクセスでき、誰が許可を表示して変更できるかを判断するために役立ちます。これは、承認されたユーザーだけがアプリケーションの許可を変更できることと、変更が完全に監査されることを確認します。監査人は、誰が変更を行い、これらの変更がいつ行われたかを表示できます。

いいえ。ポリシーの作成には Cedar ポリシー言語を使用する必要があります。Cedar は、お客様のアプリケーションリソースに対する許可の管理をサポートするように設計されている一方で、IAM ポリシー言語は AWS リソースに対するアクセスコントロールをサポートするように進化したものです。