Funzionalità di Autorizzazioni verificate da Amazon
Definizione del modello di autorizzazione
Schema
Con il supporto per Cedar, puoi definire il tuo schema in termini di ogni tipo di entità, inclusi gli attributi relativi al modello di autorizzazione e le combinazioni valide di tipi principali, tipi di risorse e azioni. Autorizzazioni verificate utilizza lo schema per convalidare la coerenza di una policy statica o di un modello di policy con il modello di autorizzazione dell'applicazione. Puoi usare JSON per definire uno schema in Autorizzazioni verificate. Ha qualche somiglianza con lo schema JSON ma utilizza aspetti unici del linguaggio delle policy Cedar. Puoi definire gruppi di azioni nel tuo schema, ovvero policy che consentono o vietano gruppi di azioni.
Richieste di autorizzazione
Connetti la tua applicazione al servizio tramite l'API per autorizzare le richieste di accesso degli utenti. Per ogni richiesta di autorizzazione, il servizio recupera le policy pertinenti e valuta quelle basate su Cedar per determinare se un utente è autorizzato a intraprendere un'azione su una risorsa in base a input di contesto quali utenti, ruoli, appartenenza al gruppo e attributi.
Gestione e convalida delle policy
Archivio delle policy
Un archivio delle policy è un container di policy basate su Cedar in Autorizzazioni verificate che è logicamente isolato dagli altri container. Puoi creare tutte le relazioni e le configurazioni gerarchiche in un unico archivio delle policy per distinguere le policy e i relativi modelli dagli altri archivi. Gli archivi delle policy sono generalmente associati a ciascuna applicazione e consentono di creare configurazioni e regole di schema diverse per più tenant senza condivisione o connettività tra di essi. Ad esempio, potresti disporre di un archivio delle policy separato per ogni tenant che utilizza un'applicazione di Autorizzazioni verificate; puoi eliminare l'archivio delle policy di un tenant senza influire sulle risorse, sugli schemi, sulle policy e sui relativi modelli di qualsiasi altro archivio.
Funzionalità del banco di prova
Il test bench è uno strumento per testare e risolvere i problemi delle policy di autorizzazioni verificate eseguendo una richiesta di autorizzazione simulata rispetto a tutte le policy basate su Cedar presenti nel tuo policy store. Il banco di prova utilizza i parametri specificati per determinare se le policy dell'archivio autorizzerebbero la richiesta.
Modelli di policy
È possibile utilizzare un modello di policy, ovvero una dichiarazione di policy basata su CEDAR con segnaposto nell'ambito che devono essere compilati con valori specifici. Un modello di policy può contenere segnaposti per il principale, la risorsa o entrambi. Gli aggiornamenti al modello di policy si riflettono su tutti i principali e le risorse che utilizzano il modello, noto anche come policy collegata al modello.
Ti consigliamo di utilizzare modelli di policy per creare policy basate su Cedar che possono essere condivise in tutta l'applicazione. Ad esempio, puoi creare un modello di policy per un editor che fornisce autorizzazioni di lettura, modifica e commento per il principale e la risorsa che utilizzano tale modello. Puoi anche utilizzare modelli di policy per definire controlli di accesso a grana grossa, media e fine per le applicazioni. Ad esempio, puoi utilizzare modelli di policy per assegnare utenti specifici a un gruppo, controlli a grana media per assegnare l'accesso a risorse specifiche e controlli a grana fine per gli attributi più granulari delle risorse.
Esecuzione di query e controllo delle policy
Query delle policy
Utilizzando le API di Autorizzazioni verificate, puoi eseguire query specifiche in base alle policy archiviate in Autorizzazioni verificate. Puoi eseguire query delle policy per determinare quali sono applicate a principali specifici, risorse specifiche o entrambi.
Controllo e registrazione
Puoi configurare e connettere Autorizzazioni verificate per inviare i log di gestione e autorizzazione delle policy ad AWS CloudTrail.
Integrazioni ed estensibilità
Integrazione con Amazon Cognito
Puoi passare il tuo token di autenticazione da Amazon Cognito a una richiesta di autorizzazione eseguita tramite Autorizzazioni verificate. Ciò consente di passare dagli attributi del gestore dell'identità digitale direttamente a una valutazione della policy e quindi a una decisione di autorizzazione generata da Autorizzazioni verificate.
Integrazione con AWS CloudFormation
Autorizzazioni verificate è integrato con CloudFormation, un servizio che aiuta a modellare e configurare le risorse AWS in modo da dedicare meno tempo alla creazione e alla gestione delle risorse e dell'infrastruttura. Crea un modello che descriva tutte le risorse AWS che desideri e CloudFormation effettua il provisioning e configura tali risorse per te.
Estensibilità
L'SDK di Autorizzazioni verificate da Amazon è disponibile utilizzando C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust e Swift.