Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
DevOps, Überwachung, Protokollierung und Abrufen von Daten für ein PDP
In diesem vorgeschlagenen Autorisierungsparadigma sind Richtlinien im Autorisierungsdienst zentralisiert. Diese Zentralisierung ist gewollt, da eines der Ziele der in diesem Leitfaden erörterten Entwurfsmodelle darin besteht, Richtlinien zu entkoppeln, d. h. die Autorisierungslogik von anderen Komponenten der Anwendung zu entfernen. Sowohl Amazon Verified Permissions als auch der Open Policy Agent (OPA) bieten Mechanismen zur Aktualisierung von Richtlinien, wenn Änderungen an der Autorisierungslogik erforderlich sind.
Im Fall von Verified Permissions bietet das AWS SDK Mechanismen zur programmatischen Aktualisierung von Richtlinien (siehe Amazon Verified Permissions API Reference Guide). Mit dem SDK können Sie neue Richtlinien bei Bedarf bereitstellen. Da es sich bei Verified Permissions um einen verwalteten Dienst handelt, müssen Sie außerdem keine Kontrollebenen oder Agenten verwalten, konfigurieren oder verwalten, um Updates durchzuführen. Wir empfehlen jedoch, eine CI/CD-Pipeline (Continuous Integration and Continuous Deployment) zu verwenden, um die Bereitstellung von Richtlinienspeichern und Richtlinienaktualisierungen für verifizierte Berechtigungen mithilfe des SDK zu verwalten. AWS
Verified Permissions bietet einfachen Zugriff auf Observability-Funktionen. Es kann so konfiguriert werden, dass alle Zugriffsversuche auf CloudWatch Amazon-Protokollgruppen AWS CloudTrail, Amazon Simple Storage Service (Amazon S3) -Buckets oder Amazon Data Firehose-Lieferstreams protokolliert werden, um eine schnelle Reaktion auf Sicherheitsvorfälle und Prüfanfragen zu ermöglichen. Darüber hinaus können Sie den Status des Dienstes Verified Permissions über den überwachen. AWS Health Dashboard Da es sich bei Verified Permissions um einen verwalteten Dienst handelt, wird dessen Integrität durch andere verwaltete Dienste gewährleistet AWS, und Sie können Observability-Funktionen mithilfe anderer AWS verwalteter Dienste konfigurieren.
Im Fall von OPA APIs bietet REST Möglichkeiten, Richtlinien programmgesteuert zu aktualisieren. Sie können das so konfigurieren APIs , dass neue Versionen von Richtlinienpaketen von etablierten Standorten abgerufen oder Richtlinien bei Bedarf übertragen werden. Darüber hinaus bietet OPA einen grundlegenden Erkennungsdienst, mit dem neue Agenten dynamisch konfiguriert und zentral über eine Kontrollebene verwaltet werden können, die Discovery-Pakete verteilt. (Die Steuerungsebene für OPA muss vom OPA-Operator eingerichtet und konfiguriert werden.) Wir empfehlen Ihnen, eine robuste CI/CD-Pipeline für die Versionierung, Überprüfung und Aktualisierung von Richtlinien zu erstellen, unabhängig davon, ob es sich bei der Policy-Engine um Verified Permissions, OPA oder eine andere Lösung handelt.
Für OPA bietet die Kontrollebene auch Optionen für die Überwachung und Prüfung. Sie können die Protokolle, die die Autorisierungsentscheidungen von OPA enthalten, zur Protokollaggregation auf entfernte HTTP-Server exportieren. Diese Entscheidungsprotokolle sind für Prüfzwecke von unschätzbarem Wert.
Wenn Sie erwägen, ein Autorisierungsmodell einzuführen, bei dem Entscheidungen zur Zugriffskontrolle von Ihrer Anwendung abgekoppelt sind, sollten Sie sicherstellen, dass Ihr Autorisierungsservice über effektive Überwachungs-, Protokollierungs- und CI/CD-Managementfunktionen verfügt, um neue Richtlinien einzuführen oder zu aktualisieren. PDPs
Themen
