Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
DevOps, memantau, mencatat, dan mengambil data untuk PDP
Dalam paradigma otorisasi yang diusulkan ini, kebijakan dipusatkan dalam layanan otorisasi. Sentralisasi ini disengaja karena salah satu tujuan dari model desain yang dibahas dalam panduan ini adalah untuk mencapai decoupling kebijakan, atau penghapusan logika otorisasi dari komponen lain dalam aplikasi. Izin Terverifikasi Amazon dan Agen Kebijakan Terbuka (OPA) menyediakan mekanisme untuk memperbarui kebijakan saat perubahan logika otorisasi diperlukan.
Dalam kasus Izin Terverifikasi, mekanisme untuk memperbarui kebijakan secara terprogram ditawarkan oleh AWS SDK (lihat Panduan Referensi API Izin Terverifikasi Amazon). Dengan menggunakan SDK, Anda dapat mendorong kebijakan baru sesuai permintaan. Selain itu, karena Izin Terverifikasi adalah layanan terkelola, Anda tidak perlu mengelola, mengonfigurasi, atau memelihara bidang kontrol atau agen untuk melakukan pembaruan. Namun, kami menyarankan Anda menggunakan pipeline integrasi berkelanjutan dan penerapan berkelanjutan (CI/CD) untuk mengelola penyebaran penyimpanan kebijakan Izin Terverifikasi dan pembaruan kebijakan menggunakan SDK. AWS
Izin Terverifikasi menyediakan akses mudah ke fitur observabilitas. Ini dapat dikonfigurasi untuk mencatat semua upaya akses ke AWS CloudTrail, grup CloudWatch log Amazon, bucket Amazon Simple Storage Service (Amazon S3), atau aliran pengiriman Amazon Data Firehose untuk memungkinkan respons cepat terhadap insiden keamanan dan permintaan audit. Selain itu, Anda dapat memantau kesehatan layanan Izin Terverifikasi melalui. AWS Health Dashboard Karena Izin Terverifikasi adalah layanan terkelola, kesehatannya dijaga oleh AWS, dan Anda dapat mengonfigurasi fitur observabilitas dengan menggunakan layanan AWS terkelola lainnya.
Dalam kasus OPA, REST APIs menawarkan cara untuk memperbarui kebijakan secara terprogram. Anda dapat mengonfigurasi paket kebijakan APIs untuk menarik versi baru dari lokasi yang ditetapkan atau untuk mendorong kebijakan sesuai permintaan. Selain itu, OPA menawarkan layanan penemuan dasar di mana agen baru dapat dikonfigurasi secara dinamis dan dikelola secara terpusat oleh pesawat kontrol yang mendistribusikan bundel penemuan. (Bidang kontrol untuk OPA harus diatur dan dikonfigurasi oleh operator OPA.) Sebaiknya Anda membuat pipeline CI/CD yang kuat untuk membuat versi, memverifikasi, dan memperbarui kebijakan, baik mesin kebijakan Izin Terverifikasi, OPA, atau solusi lain.
Untuk OPA, bidang kontrol juga menyediakan opsi untuk pemantauan dan audit. Anda dapat mengekspor log yang berisi keputusan otorisasi OPA ke server HTTP jarak jauh untuk agregasi log. Log keputusan ini sangat berharga untuk tujuan audit.
Jika Anda mempertimbangkan untuk mengadopsi model otorisasi di mana keputusan kontrol akses dipisahkan dari aplikasi Anda, pastikan bahwa layanan otorisasi Anda memiliki kemampuan pemantauan, pencatatan, dan manajemen CI/CD yang efektif untuk orientasi kebijakan baru atau pembaruan. PDPs
Topik
