Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
DevOps, supervisión, registro y recuperación de datos para un PDP
En este paradigma de autorización propuesto, las políticas están centralizadas en el servicio de autorización. Esta centralización es deliberada porque uno de los objetivos de los modelos de diseño que se analizan en esta guía es lograr la disociación de las políticas, es decir, eliminar la lógica de autorización de otros componentes de la aplicación. Tanto Amazon Verified Permissions como Open Policy Agent (OPA) proporcionan mecanismos para actualizar las políticas cuando es necesario realizar cambios en la lógica de autorización.
En el caso de los permisos verificados, el AWS SDK ofrece mecanismos para actualizar las políticas mediante programación (consulte la Guía de referencia de la API de permisos verificados de Amazon). Con el SDK, puede impulsar nuevas políticas a pedido. Además, dado que Verified Permissions es un servicio gestionado, no es necesario administrar, configurar ni mantener los planos de control o los agentes para realizar las actualizaciones. Sin embargo, le recomendamos que utilice una canalización de integración e implementación continuas (CI/CD) para administrar la implementación de los almacenes de políticas de permisos verificados y las actualizaciones de políticas mediante el AWS SDK.
Los permisos verificados proporcionan un fácil acceso a las funciones de observabilidad. Se puede configurar para registrar todos los intentos de acceso a los flujos de entrega de Amazon AWS CloudTrail, a los grupos de CloudWatch registros de Amazon Simple Storage Service (Amazon S3) o a las transmisiones de entrega de Amazon Data Firehose para permitir una respuesta rápida a los incidentes de seguridad y las solicitudes de auditoría. Además, puede supervisar el estado del servicio de permisos verificados a través del. AWS Health Dashboard Dado que Verified Permissions es un servicio gestionado, su estado se mantiene mediante otros servicios gestionados AWS, y usted puede configurar las funciones de observabilidad mediante otros servicios AWS gestionados.
En el caso de OPA, REST APIs ofrece formas de actualizar las políticas mediante programación. Puede configurarlos APIs para que extraigan nuevas versiones de los paquetes de políticas de ubicaciones establecidas o para que publiquen políticas a pedido. Además, OPA ofrece un servicio de detección básico en el que los nuevos agentes se pueden configurar de forma dinámica y administrar de forma centralizada mediante un plano de control que distribuye los paquetes de detección. (El operador de la OPA debe configurar y configurar el plano de control de la OPA). Le recomendamos que cree un canal de CI/CD sólido para el control de versiones, la verificación y la actualización de las políticas, ya sea que el motor de políticas sea Verified Permissions, OPA u otra solución.
En el caso de la OPA, el plano de control también ofrece opciones de supervisión y auditoría. Puede exportar los registros que contienen las decisiones de autorización de la OPA a servidores HTTP remotos para la agregación de registros. Estos registros de decisiones son de un valor incalculable para fines de auditoría.
Si está pensando en adoptar un modelo de autorización en el que las decisiones de control de acceso estén desvinculadas de su aplicación, asegúrese de que su servicio de autorización cuente con capacidades eficaces de supervisión, registro y gestión de la CI/CD para incorporar políticas nuevas PDPs o actualizarlas.
Temas
