Empfehlungen zur Isolierung von Mandanten und zum Datenschutz - AWS Präskriptive Leitlinien
Amazon Verified PermissionsOPA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Empfehlungen zur Isolierung von Mandanten und zum Datenschutz

Im vorherigen Abschnitt wurden verschiedene Ansätze für die Verwendung externer Daten mit OPA und Amazon Verified Permissions vorgestellt, um Autorisierungsentscheidungen zu erleichtern. Wenn möglich, empfehlen wir, den Overload-Input-Ansatz zu verwenden, um SaaS-Kontextdaten an OPA zu übergeben, um Autorisierungsentscheidungen zu treffen, anstatt Daten im OPA-Speicher zu speichern. Dieser Anwendungsfall gilt nicht für AWS Cloud Map, da er das Speichern externer Daten im Service nicht unterstützt.

Bei Hybridmodellen mit rollenbasierter Zugriffskontrolle (RBAC) oder RBAC und attribute-Based Access Control (ABAC) reichen die Daten, die ausschließlich durch eine Autorisierungsanfrage oder -abfrage bereitgestellt werden, möglicherweise nicht aus, da Rollen und Berechtigungen referenziert werden müssen, um Autorisierungsentscheidungen zu treffen. Um die Mandantenisolierung und den Datenschutz bei der Rollenzuweisung zu wahren, sollten sich diese Daten nicht innerhalb von OPA befinden. RBAC-Daten sollten sich in einer externen Datenquelle wie einer Datenbank befinden oder als Teil von Ansprüchen in einem JWT von einem IdP weitergegeben werden. In Verified Permissions können RBAC-Daten als Teil von Richtlinien und Schemas im Policy-Store-Modell pro Mandant verwaltet werden, da jeder Mandant seinen eigenen, logisch getrennten Richtlinienspeicher hat. Bei einem Modell mit einem gemeinsamen Richtlinienspeicher für mehrere Mandanten sollten sich die Rollenzuordnungsdaten jedoch nicht innerhalb der verifizierten Berechtigungen befinden, um die Mandantenisolierung aufrechtzuerhalten.

Darüber hinaus sollten OPA und verifizierte Berechtigungen nicht verwendet werden, um vordefinierte Rollen bestimmten Berechtigungen zuzuordnen, da es für Mandanten dadurch schwierig wird, ihre eigenen Rollen und Berechtigungen zu definieren. Außerdem ist Ihre Autorisierungslogik dadurch starr und muss ständig aktualisiert werden. Eine Ausnahme von dieser Richtlinie bildet das mandantenspezifische Richtlinienspeichermodell in Verified Permissions, da bei diesem Modell für jeden Mandanten eigene Richtlinien gelten, die für jeden Mandanten unabhängig voneinander bewertet werden können.

Amazon Verified Permissions

Der einzige Ort, an dem Verified Permissions potenziell private RBAC-Daten speichern können, ist das Schema. Dies ist im Modell des Richtlinienspeichers pro Mandant akzeptabel, da jeder Mandant seinen eigenen logisch getrennten Richtlinienspeicher hat. Dies könnte jedoch die Mandantenisolierung im Modell eines gemeinsamen Richtlinienspeichers mit mehreren Mandanten gefährden. In Fällen, in denen diese Daten für eine Autorisierungsentscheidung erforderlich sind, sollten sie aus einer externen Quelle wie DynamoDB oder Amazon RDS abgerufen und in die Autorisierungsanfrage für verifizierte Berechtigungen aufgenommen werden.

OPA

Zu den sicheren Ansätzen mit OPA zur Wahrung des Datenschutzes und der Mandantenisolierung von RBAC-Daten gehört der dynamische Datenabruf oder die Replikation, um externe Daten abzurufen. Dies liegt daran, dass Sie den im vorherigen Diagramm dargestellten Autorisierungsdienst verwenden können, um nur mandanten- oder benutzerspezifische externe Daten für eine Autorisierungsentscheidung bereitzustellen. Sie können beispielsweise einen Replikator verwenden, um RBAC-Daten oder eine Berechtigungsmatrix für den OPA-Cache bereitzustellen, wenn sich ein Benutzer anmeldet, und die Daten auf der Grundlage eines in den Eingabedaten angegebenen Benutzers referenzieren lassen. Sie können einen ähnlichen Ansatz mit dynamisch abgerufenen Daten verwenden, um nur die für Autorisierungsentscheidungen relevanten Daten abzurufen. Darüber hinaus müssen diese Daten beim dynamischen Datenabruf nicht in OPA zwischengespeichert werden. Der Bündelungsansatz ist bei der Aufrechterhaltung der Mandantenisolierung nicht so effektiv wie der dynamische Abrufansatz, da er alles im OPA-Cache aktualisiert und keine präzisen Aktualisierungen verarbeiten kann. Das Bündelungsmodell ist immer noch ein guter Ansatz für die Aktualisierung von OPA-Richtlinien und Nicht-RBAC-Daten.