Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Rekomendasi untuk isolasi penyewa dan privasi data
Bagian sebelumnya menyediakan beberapa pendekatan untuk menggunakan data eksternal dengan Izin Terverifikasi OPA dan Amazon untuk membantu dalam membuat keputusan otorisasi. Jika memungkinkan, kami menyarankan Anda menggunakan pendekatan input kelebihan beban untuk meneruskan data konteks SaaS ke OPA untuk membuat keputusan otorisasi alih-alih menyimpan data dalam memori OPA. Kasus penggunaan ini tidak berlaku untuk AWS Cloud Map, karena tidak mendukung penyimpanan data eksternal dalam layanan.
Dalam model hibrida kontrol akses berbasis peran (RBAC) atau RBAC dan kontrol akses berbasis atribut (ABAC), data yang disediakan semata-mata oleh permintaan otorisasi atau kueri mungkin tidak cukup, karena peran dan izin harus direferensikan untuk membuat keputusan otorisasi. Untuk menjaga isolasi penyewa dan privasi pemetaan peran, data ini tidak boleh berada dalam OPA. Data RBAC harus berada di sumber data eksternal seperti database atau harus diteruskan sebagai bagian dari klaim dalam JWT dari iDP. Dalam Izin Terverifikasi, data RBAC dapat dipertahankan sebagai bagian dari kebijakan dan skema dalam model penyimpanan kebijakan per penyewa, karena setiap penyewa memiliki penyimpanan kebijakan terpisah secara logis. Namun, dalam satu model penyimpanan kebijakan multi-penyewa bersama, data pemetaan peran tidak boleh berada dalam Izin Terverifikasi untuk mempertahankan isolasi penyewa.
Selain itu, OPA dan Izin Terverifikasi tidak boleh digunakan untuk memetakan peran yang telah ditentukan sebelumnya ke izin tertentu, karena ini menyulitkan penyewa untuk menentukan peran dan izin mereka sendiri. Itu juga membuat logika otorisasi Anda kaku dan membutuhkan pembaruan konstan. Pengecualian untuk pedoman ini adalah model penyimpanan kebijakan per penyewa di Izin Terverifikasi, karena model ini memungkinkan setiap penyewa memiliki kebijakan sendiri yang dapat dievaluasi secara independen berdasarkan per-penyewa.
Izin Terverifikasi Amazon
Satu-satunya tempat di mana Izin Terverifikasi dapat menyimpan data RBAC yang berpotensi pribadi adalah dalam skema. Ini dapat diterima dalam model toko kebijakan per penyewa, karena setiap penyewa memiliki toko kebijakan terpisah secara logis. Namun, itu dapat membahayakan isolasi penyewa dalam model toko kebijakan multi-penyewa bersama. Dalam kasus di mana data ini diperlukan untuk membuat keputusan otorisasi, data tersebut harus diambil dari sumber eksternal seperti DynamoDB atau Amazon RDS dan dimasukkan ke dalam permintaan otorisasi Izin Terverifikasi.
OPA
Pendekatan aman dengan OPA untuk menjaga privasi dan isolasi penyewa data RBAC termasuk menggunakan pengambilan atau replikasi data dinamis untuk mendapatkan data eksternal. Ini karena Anda dapat menggunakan layanan otorisasi yang diilustrasikan dalam diagram sebelumnya untuk hanya menyediakan data eksternal khusus penyewa atau khusus pengguna untuk membuat keputusan otorisasi. Misalnya, Anda dapat menggunakan replikator untuk menyediakan data RBAC atau matriks izin ke cache OPA saat pengguna masuk, dan meminta data direferensikan berdasarkan pengguna yang disediakan dalam data input. Anda dapat menggunakan pendekatan serupa dengan data yang ditarik secara dinamis untuk mengambil hanya data yang relevan untuk membuat keputusan otorisasi. Selanjutnya, dalam pendekatan pengambilan data dinamis, data ini tidak harus di-cache di OPA. Pendekatan bundling tidak seefektif pendekatan pengambilan dinamis dalam mempertahankan isolasi penyewa, karena memperbarui semua yang ada di cache OPA dan tidak dapat memproses pembaruan yang tepat. Model bundling masih merupakan pendekatan yang baik untuk memperbarui kebijakan OPA dan data non-RBAC.
