Modèle d'autorisation Demande d'autorisation Réponse d'autorisation Politiques prises en compte Données contextuelles Déterminer les politiques Données sur les entités Permissions, autorisations et principes Application des politiques Boutique Policy Politiques satisfaites

Termes et concepts relatifs aux autorisations vérifiées par Amazon

Vous devez comprendre les concepts suivants pour utiliser Amazon Verified Permissions.

Concepts d'autorisations vérifiés

Modèle d'autorisation
Demande d'autorisation
Réponse d'autorisation
Politiques prises en compte
Données contextuelles
Déterminer les politiques
Données sur les entités
Permissions, autorisations et principes
Application des politiques
Boutique Policy
Politiques satisfaites
Différences entre les autorisations vérifiées et Cedar

Concepts linguistiques relatifs à la politique du

Modèle d'autorisation

Le modèle d'autorisation décrit l'étendue des demandes d'autorisation effectuées par l'application et la base d'évaluation de ces demandes. Il est défini en fonction des différents types de ressources, des actions entreprises sur ces ressources et des types de principes qui prennent ces mesures. Il prend également en compte le contexte dans lequel ces mesures sont prises.

Le contrôle d'accès basé sur les rôles (RBAC) est une base d'évaluation dans laquelle les rôles sont définis et associés à un ensemble d'autorisations. Ces rôles peuvent ensuite être attribués à une ou plusieurs identités. L'identité attribuée acquiert les autorisations associées au rôle. Si les autorisations associées au rôle sont modifiées, la modification a automatiquement un impact sur toute identité à laquelle le rôle a été attribué. Cedar peut soutenir les décisions du RBAC en faisant appel à des groupes principaux.

Le contrôle d'accès basé sur les attributs (ABAC) est une base d'évaluation dans laquelle les autorisations associées à une identité sont déterminées par les attributs de cette identité. Cedar peut soutenir les décisions de l'ABAC en utilisant des conditions politiques qui font référence aux attributs du principal.

Le langage de politique Cedar permet de combiner RBAC et ABAC dans une seule politique en permettant de définir des autorisations pour un groupe d'utilisateurs soumis à des conditions basées sur des attributs.

Demande d'autorisation

Une demande d'autorisation est une demande d'autorisations vérifiées faite par une application pour évaluer un ensemble de politiques afin de déterminer si un principal peut effectuer une action sur une ressource dans un contexte donné.

Réponse d'autorisation

La réponse d'autorisation est la réponse à la demande d'autorisation. Il inclut une décision d'autorisation ou de refus, ainsi que des informations supplémentaires, telles que les identifiants des politiques déterminantes.

Politiques prises en compte

Les politiques considérées sont l'ensemble complet des politiques sélectionnées par Verified Permissions pour inclusion lors de l'évaluation d'une demande d'autorisation.

Données contextuelles

Les données contextuelles sont des valeurs d'attributs qui fournissent des informations supplémentaires à évaluer.

Déterminer les politiques

Les politiques de détermination sont les politiques qui déterminent la réponse d'autorisation. Par exemple, si deux politiques sont satisfaites, l'une étant un refus et l'autre une autorisation, la politique de refus sera la politique déterminante. Si plusieurs politiques d'autorisation sont satisfaites et qu'aucune politique d'interdiction n'est satisfaite, alors il existe plusieurs politiques déterminantes. Dans le cas où aucune politique ne correspond et que la réponse est refusée, il n'existe aucune politique déterminante.

Données sur les entités

Les données d'entité sont des données relatives au principal, à l'action et à la ressource. Les données d'entité pertinentes pour l'évaluation des politiques sont l'appartenance à un groupe tout au long de la hiérarchie des entités et les valeurs d'attribut du principal et de la ressource.

Permissions, autorisations et principes

Verified Permissions gère les autorisations détaillées et les autorisations au sein des applications personnalisées que vous créez.

Un mandant est l'utilisateur d'une application, qu'elle soit humaine ou machine, dont l'identité est liée à un identifiant tel qu'un nom d'utilisateur ou un identifiant de machine. Le processus d'authentification détermine si le mandant est réellement l'identité qu'il prétend être.

À cette identité est associé un ensemble d'autorisations d'application qui déterminent ce que le principal est autorisé à faire au sein de cette application. L'autorisation est le processus qui consiste à évaluer ces autorisations afin de déterminer si un principal est autorisé à effectuer une action particulière dans l'application. Ces autorisations peuvent être exprimées sous forme de politiques.

Application des politiques

L'application des politiques est le processus qui consiste à appliquer la décision d'évaluation au sein de l'application en dehors des autorisations vérifiées. Si l'évaluation des autorisations vérifiées aboutit à un refus, l'application empêchera le principal d'accéder à la ressource.

Boutique Policy

Un magasin de politiques est un conteneur pour les politiques et les modèles. Chaque magasin contient un schéma qui est utilisé pour valider les politiques ajoutées au magasin. Par défaut, chaque application possède son propre magasin de politiques, mais plusieurs applications peuvent partager un seul magasin de politiques. Lorsqu'une application fait une demande d'autorisation, elle identifie le magasin de politiques utilisé pour évaluer cette demande. Les magasins de politiques permettent d'isoler un ensemble de politiques et peuvent donc être utilisés dans une application multi-locataires pour contenir les schémas et les politiques de chaque locataire. Une seule application peut disposer de magasins de politiques distincts pour chaque locataire.

Lors de l'évaluation d'une demande d'autorisation, Verified Permissions ne prend en compte que le sous-ensemble des politiques du magasin de politiques qui sont pertinentes pour la demande. La pertinence est déterminée en fonction de la portée de la politique. Le champ d'application identifie le principal et la ressource spécifiques auxquels la politique s'applique, ainsi que les actions que le principal peut effectuer sur la ressource. La définition du périmètre permet d'améliorer les performances en réduisant l'ensemble des politiques envisagées.

Politiques satisfaites

Les politiques satisfaisantes sont celles qui correspondent aux paramètres de la demande d'autorisation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Qu'est-ce que les autorisations vérifiées par Amazon ?

Différences avec le cèdre