Différences entre les autorisations vérifiées et Cedar - Amazon Verified Permissions
Définition de l'espace de nomsSupport pour les modèles de politiqueSupport de schémaSupport de type d'extensionFormat Cedar JSON pour les entitésDéfinition des groupes d'actionLimites de longueur et de taille

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Différences entre les autorisations vérifiées et Cedar

Amazon Verified Permissions utilise le moteur de langage de politique Cedar pour effectuer ses tâches d'autorisation. Cependant, il existe certaines différences entre l'implémentation native de Cedar et l'implémentation de Cedar trouvée dans les autorisations vérifiées. Cette rubrique met en évidence ces différences.

Définition de l'espace de noms

L'implémentation des autorisations vérifiées de Cedar présente les différences suivantes par rapport à l'implémentation native de Cedar :

  • Les autorisations vérifiées ne prennent en charge qu'une seuleespace de noms dans un schémadéfini dans un magasin de politiques.

  • Les autorisations vérifiées ne vous permettent pas de créerespace de nomsavec les valeurs suivantes :aws,amazon, oucedar.

Support pour les modèles de politique

Verified Permissions et Cedar autorisent tous deux des espaces réservés uniquement auxprincipaletresource. Toutefois, les autorisations vérifiées exigent également que ni leprincipaletresourcene sont pas soumis à des contraintes.

La politique suivante est valide dans Cedar mais elle est rejetée par Verified Permissions carprincipaln'est pas contraint.

permit(principal, action == Action::"view", resource == ?resource);

Les deux exemples suivants sont valides à la fois dans Cedar et dans Verified Permissions carprincipaletresourceont des contraintes.

permit(principal == User::"alice", action == Action::"view", resource == ?resource);
permit(principal == ?principal, action == Action::"a", resource in ?resource);

Support de schéma

Les autorisations vérifiées nécessitent que tous les noms de clé JSON du schéma soient des chaînes non vides. Cedar autorise les chaînes vides dans certains cas, par exemple pour les propriétés.

Support de type d'extension

Les autorisations vérifiées sont compatibles avec Cedartypes de rallongesdans les politiques, mais ne permet pas actuellement de les inclure dans la définition d'un schéma ou dans le cadre duentitiesparamètre duIsAuthorizedetIsAuthorizedWithTokenopérations.

Les types d'extension incluent le point fixe (decimal) et adresse IP (ipaddr) types de données.

Format Cedar JSON pour les entités

À l'heure actuelle, les autorisations vérifiées vous obligent à transmettre la liste des entités à prendre en compte dans le cadre d'une demande d'autorisation en utilisant la structure définie pourEntitiesDefinition, qui est un tableau deEntityIteméléments. Verified Permissions ne prend actuellement pas en charge la transmission de la liste des entités à prendre en compte dans une demande d'autorisation dansformat Cedar JSON. Pour connaître les exigences spécifiques relatives au formatage de vos entités à utiliser dans les autorisations vérifiées, voirFormatage des entités dans Amazon Verified Permissions.

Définition des groupes d'action

Les méthodes d'autorisation de Cedar nécessitent une liste des entités à prendre en compte lors de l'évaluation d'une demande d'autorisation par rapport aux politiques.

Vous pouvez définir les actions et les groupes d'actions utilisés par votre application dans le schéma. Toutefois, Cedar n'inclut pas le schéma dans le cadre d'une demande d'évaluation. Cedar utilise plutôt le schéma uniquement pour valider les politiques et les modèles de politiques que vous soumettez. Comme Cedar ne fait pas référence au schéma lors des demandes d'évaluation, même si vous avez défini des groupes d'actions dans le schéma, vous devez également inclure la liste de tous les groupes d'actions dans la liste des entités que vous devez transmettre aux opérations de l'API d'autorisation.

Verified Permissions le fait pour vous. Tous les groupes d'actions que vous définissez dans votre schéma sont automatiquement ajoutés à la liste des entités que vous transmettez en tant que paramètre auIsAuthorizedouIsAuthorizedWithTokenopérations.

Limites de longueur et de taille

Verified Permissions prend en charge le stockage sous forme de magasins de politiques pour stocker vos schémas, politiques et modèles de politiques. Ce stockage oblige les autorisations vérifiées à imposer des limites de longueur et de taille qui ne sont pas pertinentes pour Cedar.

Objet Limite d'autorisations vérifiées (en octets) Limite de cèdre
Taille de la politique¹ 10 000 Aucune
Description de la politique en ligne 150 ne s'applique pas au cèdre
Taille du modèle de politique 10 000 Aucune
Taille du schéma 10 000 Aucune
Type d'entité 200 Aucune
ID de stratégie 64 Aucune
ID de modèle de politique 64 Aucune
ID de l'entité 200 Aucune
ID du magasin Policy 64 ne s'applique pas au cèdre

¹ Il existe une limite de politiques par magasin de politiques dans les autorisations vérifiées en fonction de la taille combinée des principes, des actions et des ressources des politiques créées dans le magasin de politiques. La taille totale de toutes les politiques relatives à une seule ressource ne peut pas dépasser 200 000 octets. Pour les politiques liées à un modèle, la taille du modèle de stratégie n'est comptée qu'une seule fois, plus la taille de chaque ensemble de paramètres utilisé pour instancier chaque politique liée au modèle.