Términos y conceptos de Amazon Verified Permissions - Amazon Verified Permissions
Modelo de autorizaciónSolicitud de autorizaciónRespuesta de autorizaciónPolíticas consideradasDatos de contextoPolíticas determinantesDatos de la entidadPermisos, autorizaciones y entidades principalesAplicación de políticasAlmacén de políticasPolíticas satisfechas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Términos y conceptos de Amazon Verified Permissions

Debe comprender los siguientes conceptos para utilizar Amazon Verified Permissions.

Conceptos de Verified Permissions

Conceptos del lenguaje de políticas de Cedar

Modelo de autorización

El modelo de autorización describe el alcance de las solicitudes de autorización realizadas por la aplicación y la base para evaluarlas. Se define en términos de los diferentes tipos de recursos, las acciones que se realizan sobre esos recursos y los tipos de entidad principal que toman esas acciones. También considera el contexto en el que se llevan a cabo esas acciones.

El control de acceso basado en roles (RBAC) es una base de evaluación en la que los roles se definen y asocian a un conjunto de permisos. Después, estas roles se pueden asignar a una o más identidades. La identidad asignada adquiere los permisos asociados al rol. Si se modifican los permisos asociados al rol, la modificación afecta automáticamente a cualquier identidad a la que se haya asignado el rol. Cedar puede respaldar las decisiones del RBAC mediante el uso de grupos de entidades principales.

El control de acceso basado en atributos (ABAC) es una base de evaluación en la que los permisos asociados a una identidad vienen determinados por los atributos de esa identidad. Cedar puede respaldar las decisiones del ABAC mediante el uso de condiciones políticas que hagan referencia a los atributos de la entidad principal.

El lenguaje de políticas de Cedar permite combinar RBAC y ABAC en una sola política al permitir definir los permisos para un grupo de usuarios, que tienen condiciones basadas en atributos.

Solicitud de autorización

Una solicitud de autorización es una solicitud de Verified Permissions realizada por una aplicación para evaluar un conjunto de políticas a fin de determinar si una entidad principal puede realizar una acción en un recurso en un contexto determinado.

Respuesta de autorización

La respuesta de autorización es la respuesta a la solicitud de autorización. Incluye la decisión de permitir o denegar, además de información adicional, como los ID de las políticas determinantes.

Políticas consideradas

Las políticas consideradas son el conjunto completo de políticas que Verified Permissions selecciona para incluirlas al evaluar una solicitud de autorización.

Datos de contexto

Los datos de contexto son valores de atributos que proporcionan información adicional para su evaluación.

Políticas determinantes

Las políticas determinantes son las políticas que determinan la respuesta de autorización. Por ejemplo, si hay dos políticas satisfechas, una de denegación y la otra de permiso, la política de denegación será la política determinante. Si hay varias políticas de permisos satisfechas y ninguna política de prohibición satisfecha, hay varias políticas determinantes. En el caso de que ninguna política coincida y la respuesta sea denegar, no hay políticas determinantes.

Datos de la entidad

Los datos de la entidad son los datos sobre la entidad principal, la acción y el recurso. Los datos de la entidad relevantes para la evaluación de las políticas son la pertenencia a grupos hasta el final de la jerarquía de la entidad y los valores de los atributos de la entidad principal y el recurso.

Permisos, autorizaciones y entidades principales

Verified Permissions administra los permisos y la autorización detallados en las aplicaciones personalizadas que usted crea.

Una entidad principal es el usuario de una aplicación, ya sea humana o automática, que tiene una identidad vinculada a un identificador, como un nombre de usuario o un identificador de máquina. El proceso de autenticación determina si la entidad principal es realmente la identidad que afirma ser.

Asociado a esa identidad hay un conjunto de permisos de aplicación que determinan lo que la entidad principal puede hacer dentro de esa aplicación. La autorización es el proceso de evaluar esos permisos para determinar si una entidad principal está autorizada a realizar una acción determinada en la aplicación. Estos permisos se pueden expresar como políticas.

Aplicación de políticas

La aplicación de las políticas es el proceso de hacer cumplir la decisión de evaluación dentro de la aplicación fuera de Verified Permissions. Si la evaluación de Verified Permissions da como resultado una denegación, la aplicación garantizaría que se impidiera a la entidad principal acceder al recurso.

Almacén de políticas

Un almacén de políticas es un contenedor de políticas y plantillas. Cada almacén contiene un esquema que se utiliza para validar las políticas agregadas al almacén. De forma predeterminada, cada aplicación tiene su propio almacén de políticas, pero varias aplicaciones pueden compartir un único almacén de políticas. Cuando una aplicación realiza una solicitud de autorización, identifica el almacén de políticas utilizado para evaluar esa solicitud. Los almacenes de políticas proporcionan una forma de aislar un conjunto de políticas y, por lo tanto, se pueden usar en una aplicación de varios inquilinos para incluir los esquemas y las políticas de cada inquilino. Una sola aplicación puede tener almacenes de políticas independientes para cada inquilino.

Al evaluar una solicitud de autorización, Verified Permissions solo tiene en cuenta el subconjunto de las políticas del almacén de políticas que son relevantes para la solicitud. La relevancia se determina en función del alcance de la política. El alcance identifica la entidad principal y el recurso específicos a los que se aplica la política, así como las acciones que la entidad principal puede realizar en el recurso. Definir el alcance ayuda a mejorar el rendimiento al reducir el conjunto de políticas consideradas.

Políticas satisfechas

Las políticas satisfechas son las políticas que coinciden con los parámetros de la solicitud de autorización.