Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Recommandations relatives à l'isolation des locataires et à la confidentialité des données
La section précédente présentait plusieurs approches pour utiliser des données externes avec OPA et Amazon Verified Permissions afin de faciliter la prise de décisions en matière d'autorisation. Dans la mesure du possible, nous vous recommandons d'utiliser l'approche de saisie par surcharge pour transmettre les données contextuelles SaaS à l'OPA afin de prendre des décisions d'autorisation au lieu de stocker les données dans la mémoire de l'OPA. Ce cas d'utilisation ne s'applique pas à AWS Cloud Map, car il ne prend pas en charge le stockage de données externes dans le service.
Dans les modèles hybrides de contrôle d'accès basé sur les rôles (RBAC) ou de contrôle d'accès basé sur les attributs (ABAC), les données fournies uniquement par une demande ou une requête d'autorisation peuvent être insuffisantes, car les rôles et les autorisations doivent être référencés pour prendre des décisions d'autorisation. Pour préserver l'isolement des locataires et la confidentialité du mappage des rôles, ces données ne doivent pas résider dans l'OPA. Les données RBAC doivent résider dans une source de données externe telle qu'une base de données ou doivent être transmises dans le cadre de réclamations d'un IdP dans un JWT. Dans Verified Permissions, les données RBAC peuvent être conservées dans le cadre des politiques et du schéma du modèle de magasin de politiques par locataire, car chaque locataire possède son propre magasin de politiques séparé logiquement. Toutefois, dans le modèle d'un magasin de politiques mutualisé partagé, les données de mappage des rôles ne doivent pas résider dans les autorisations vérifiées afin de maintenir l'isolement des locataires.
En outre, l'OPA et les autorisations vérifiées ne doivent pas être utilisées pour associer des rôles prédéfinis à des autorisations spécifiques, car cela rend difficile pour les locataires de définir leurs propres rôles et autorisations. Cela rend également votre logique d'autorisation rigide et nécessite une mise à jour constante. L'exception à cette directive est le modèle de magasin de politiques par locataire dans Verified Permissions, car ce modèle permet à chaque locataire d'avoir ses propres politiques qui peuvent être évaluées indépendamment par locataire.
Amazon Verified Permissions
Le seul endroit où les autorisations vérifiées peuvent stocker des données RBAC potentiellement privées se trouve dans le schéma. Cela est acceptable dans le modèle de magasin de politiques par locataire, car chaque locataire possède son propre magasin de politiques séparé logiquement. Cependant, cela pourrait compromettre l'isolement des locataires dans le modèle de magasin de politiques partagé par plusieurs locataires. Dans les cas où ces données sont nécessaires pour prendre une décision d'autorisation, elles doivent être extraites d'une source externe telle que DynamoDB ou Amazon RDS et intégrées à la demande d'autorisation des autorisations vérifiées.
OPA
Les approches sécurisées avec OPA pour préserver la confidentialité et isoler les locataires des données RBAC incluent l'utilisation de la récupération ou de la réplication dynamiques des données pour obtenir des données externes. En effet, vous pouvez utiliser le service d'autorisation illustré dans le schéma précédent pour fournir uniquement des données externes spécifiques au locataire ou à l'utilisateur afin de prendre une décision d'autorisation. Par exemple, vous pouvez utiliser un réplicateur pour fournir des données RBAC ou une matrice d'autorisations au cache OPA lorsqu'un utilisateur se connecte, et faire en sorte que les données soient référencées en fonction de l'utilisateur indiqué dans les données d'entrée. Vous pouvez utiliser une approche similaire avec des données extraites dynamiquement pour récupérer uniquement les données pertinentes pour prendre des décisions d'autorisation. De plus, dans l'approche de récupération dynamique des données, ces données n'ont pas besoin d'être mises en cache dans OPA. L'approche de regroupement n'est pas aussi efficace que l'approche de récupération dynamique pour maintenir l'isolement des locataires, car elle met à jour tout ce qui se trouve dans le cache OPA et ne permet pas de traiter des mises à jour précises. Le modèle de regroupement reste une bonne approche pour mettre à jour les politiques OPA et les données non RBAC.
