Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
DevOps, surveillance, journalisation et récupération de données pour un PDP
Dans ce paradigme d'autorisation proposé, les politiques sont centralisées dans le service d'autorisation. Cette centralisation est délibérée car l'un des objectifs des modèles de conception présentés dans ce guide est de découpler les politiques, c'est-à-dire de supprimer la logique d'autorisation des autres composants de l'application. Amazon Verified Permissions et Open Policy Agent (OPA) fournissent tous deux des mécanismes permettant de mettre à jour les politiques lorsque des modifications de la logique d'autorisation sont nécessaires.
Dans le cas des autorisations vérifiées, des mécanismes de mise à jour programmatique des politiques sont proposés par le AWS SDK (voir le guide de référence de l'API Amazon Verified Permissions). À l'aide du SDK, vous pouvez imposer de nouvelles politiques à la demande. En outre, comme Verified Permissions est un service géré, vous n'avez pas besoin de gérer, de configurer ou de maintenir des plans de contrôle ou des agents pour effectuer des mises à jour. Toutefois, nous vous recommandons d'utiliser un pipeline d'intégration et de déploiement continus (CI/CD) pour administrer le déploiement des magasins de politiques d'autorisations vérifiées et des mises à jour des politiques à l'aide du AWS SDK.
Les autorisations vérifiées permettent d'accéder facilement aux fonctionnalités d'observabilité. Il peut être configuré pour enregistrer toutes les tentatives d'accès aux groupes de CloudWatch journaux Amazon AWS CloudTrail, aux compartiments Amazon Simple Storage Service (Amazon S3) ou aux flux de livraison Amazon Data Firehose afin de permettre une réponse rapide aux incidents de sécurité et aux demandes d'audit. En outre, vous pouvez surveiller l'état du service Verified Permissions via le AWS Health Dashboard. Dans la mesure où Verified Permissions est un service géré, son intégrité est maintenue par AWS d'autres services gérés et vous pouvez configurer les fonctionnalités d'observabilité à l'aide d'autres services AWS gérés.
Dans le cas de l'OPA, REST APIs propose des moyens de mettre à jour les politiques de manière programmatique. Vous pouvez configurer le APIs pour extraire les nouvelles versions des ensembles de politiques à partir d'emplacements établis ou pour appliquer des politiques à la demande. En outre, OPA propose un service de découverte de base dans lequel les nouveaux agents peuvent être configurés de manière dynamique et gérés de manière centralisée par un plan de contrôle qui distribue les ensembles de découverte. (Le plan de contrôle de l'OPA doit être établi et configuré par l'opérateur OPA.) Nous vous recommandons de créer un pipeline CI/CD robuste pour le versionnement, la vérification et la mise à jour des politiques, que le moteur de politiques soit Verified Permissions, OPA ou une autre solution.
Pour OPA, le plan de contrôle fournit également des options de surveillance et d'audit. Vous pouvez exporter les journaux contenant les décisions d'autorisation de l'OPA vers des serveurs HTTP distants pour l'agrégation des journaux. Ces journaux de décisions sont d'une valeur inestimable à des fins d'audit.
Si vous envisagez d'adopter un modèle d'autorisation dans lequel les décisions relatives au contrôle d'accès sont dissociées de votre application, assurez-vous que votre service d'autorisation dispose de fonctionnalités efficaces de surveillance, de journalisation et de gestion CI/CD pour intégrer de nouvelles politiques ou les mettre à jour. PDPs
Rubriques
