Mandantenisolierung mit dem OPA-Dokumentenmodell - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mandantenisolierung mit dem OPA-Dokumentenmodell

OPA verwendet Dokumente, um Entscheidungen zu treffen. Diese Dokumente können mandantenspezifische Daten enthalten. Sie müssen also überlegen, wie Sie die Mandantendaten isolieren können. OPA-Dokumente bestehen aus Basisdokumenten und virtuellen Dokumenten. Basisdokumente enthalten Daten aus der Außenwelt. Dazu gehören Daten, die OPA direkt zur Verfügung gestellt werden, Daten über die OPA-Anfrage und Daten, die möglicherweise als Eingabe an OPA weitergegeben werden. Virtuelle Dokumente werden anhand von Richtlinien berechnet und enthalten OPA-Richtlinien und -Regeln. Weitere Informationen finden Sie in der OPA-Dokumentation.

Um in OPA ein Dokumentenmodell für eine Mehrmandantenanwendung zu entwerfen, müssen Sie zunächst überlegen, welche Art von Basisdokumenten Sie benötigen, um eine Entscheidung in OPA zu treffen. Wenn diese Basisdokumente mandantenspezifische Daten enthalten, müssen Sie Maßnahmen ergreifen, um sicherzustellen, dass diese Daten nicht versehentlich einem mandantenübergreifenden Zugriff ausgesetzt werden. Zum Glück sind in vielen Fällen keine mandantenspezifischen Daten erforderlich, um eine Entscheidung in OPA zu treffen. Das folgende Beispiel zeigt ein hypothetisches OPA-Dokumentmodell, das den Zugriff auf eine API basierend darauf ermöglicht, welchem Mandanten die API gehört und ob der Benutzer Mitglied des Mandanten ist, wie im Eingabedokument angegeben.

Grundlegendes OPA-Dokumentenmodell

Bei diesem Ansatz hat OPA keinen Zugriff auf mandantenspezifische Daten, mit Ausnahme von Informationen darüber, welche Mandanten eine API besitzen. In diesem Fall besteht kein Grund zur Sorge, dass OPA den mandantenübergreifenden Zugriff erleichtert, da die einzigen Informationen, die OPA verwendet, um eine Zugriffsentscheidung zu treffen, die Zuordnung eines Benutzers zu einem Mandanten und die Zuordnung des Mandanten zu sind. APIs Sie könnten diese Art von OPA-Dokumentenmodell auf ein isoliertes SaaS-Modell anwenden, da jeder Mandant Eigentümer unabhängiger Ressourcen wäre.

Bei vielen RBAC-Autorisierungsansätzen besteht jedoch die Möglichkeit, dass Informationen mandantenübergreifend offengelegt werden. Im folgenden Beispiel ermöglicht ein hypothetisches OPA-Dokumentenmodell den Zugriff auf eine API auf der Grundlage, ob ein Benutzer Mitglied eines Mandanten ist und ob der Benutzer die richtige Rolle für den Zugriff auf die API hat.

OPA-Dokumentenmodell für einen mandantenübergreifenden Anwendungsfall

Dieses Modell birgt das Risiko eines mandantenübergreifenden Zugriffs, da die Rollen und Berechtigungen mehrerer Mandanten nun OPA zugänglich gemacht werden data.tenant2.user_roles müssen, um Autorisierungsentscheidungen treffen zu können. data.tenant1.user_roles Um die Mandantenisolierung und den Datenschutz bei der Rollenzuweisung zu wahren, sollten sich diese Daten nicht innerhalb von OPA befinden. RBAC-Daten sollten sich in einer externen Datenquelle wie einer Datenbank befinden. Darüber hinaus sollte OPA nicht verwendet werden, um vordefinierte Rollen bestimmten Berechtigungen zuzuordnen, da es für Mandanten dadurch schwierig wird, ihre eigenen Rollen und Berechtigungen zu definieren. Außerdem ist Ihre Autorisierungslogik dadurch starr und muss ständig aktualisiert werden. Hinweise zur sicheren Einbindung von RBAC-Daten in den OPA-Entscheidungsprozess finden Sie im Abschnitt Empfehlungen zur Mandantenisolierung und zum Datenschutz weiter unten in diesem Leitfaden.

Sie können die Mandantenisolierung in OPA problemlos aufrechterhalten, indem Sie keine mandantenspezifischen Daten als asynchrones Basisdokument speichern. Bei einem asynchronen Basisdokument handelt es sich um Daten, die im Arbeitsspeicher gespeichert sind und in OPA regelmäßig aktualisiert werden können. Andere Basisdokumente, wie z. B. OPA-Eingaben, werden synchron übergeben und sind nur zur Entscheidungszeit verfügbar. Die Bereitstellung mandantenspezifischer Daten als Teil der OPA-Eingabe für eine Abfrage würde beispielsweise keinen Verstoß gegen die Mandantenisolierung darstellen, da diese Daten während des Entscheidungsprozesses nur synchron verfügbar sind.