Implementazione di un PDP utilizzando Amazon Verified Permissions - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Implementazione di un PDP utilizzando Amazon Verified Permissions

Amazon Verified Permissions è un servizio di gestione e autorizzazione scalabile e granulare delle autorizzazioni che puoi utilizzare per implementare un punto decisionale sulle politiche (PDP). In quanto motore di policy, può aiutare l'applicazione a verificare le azioni degli utenti in tempo reale ed evidenziare le autorizzazioni eccessivamente privilegiate o non valide. Aiuta gli sviluppatori a creare applicazioni più sicure più rapidamente esternalizzando le autorizzazioni e centralizzando la gestione e l'amministrazione delle policy. Separando la logica di autorizzazione dalla logica dell'applicazione, Verified Permissions supporta il disaccoppiamento delle politiche.

Utilizzando le autorizzazioni verificate per implementare un PDP e implementando i privilegi minimi e la verifica continua all'interno delle applicazioni, gli sviluppatori possono allineare l'accesso alle applicazioni ai principi Zero Trust. Inoltre, i team di sicurezza e controllo possono analizzare e verificare meglio chi ha accesso a quali risorse all'interno di un'applicazione. Verified Permissions utilizza Cedar, un linguaggio di policy open source creato appositamente e incentrato sulla sicurezza, per definire controlli di accesso basati su policy basati sul controllo degli accessi basato sui ruoli (RBAC) e sul controllo degli accessi basato sugli attributi (ABAC) per un controllo degli accessi più granulare e sensibile al contesto.

Verified Permissions offre alcune funzioni utili per le applicazioni SaaS, come la possibilità di abilitare l'autorizzazione multi-tenant utilizzando più provider di identità come Amazon Cognito, Google e Facebook. Un'altra funzionalità di Autorizzazioni verificate particolarmente utile per le applicazioni SaaS è il supporto per ruoli personalizzati su base per-tenant. Se state progettando un sistema di gestione delle relazioni con i clienti (CRM), un tenant potrebbe definire la granularità dell'accesso in base alle opportunità di vendita sulla base di un particolare insieme di criteri. Un altro inquilino potrebbe avere un'altra definizione. I sistemi di autorizzazioni alla base di Verified Permissions possono supportare queste variazioni, il che lo rende un ottimo candidato per i casi d'uso SaaS. Verified Permissions supporta anche la possibilità di scrivere policy che si applicano a tutti i tenant, quindi è semplice applicare policy guardrail per impedire accessi non autorizzati come provider SaaS.

Utilizzo di Amazon Verified Permissions per implementare un PDP

Perché usare le autorizzazioni verificate?

Utilizza le autorizzazioni verificate con un provider di identità come Amazon Cognito per una soluzione di gestione degli accessi più dinamica e basata su policy per le tue applicazioni. Puoi creare applicazioni che aiutano gli utenti a condividere informazioni e collaborare mantenendo la sicurezza, la riservatezza e la privacy dei loro dati. Verified Permissions aiuta a ridurre i costi operativi fornendovi un sistema di autorizzazione dettagliato per imporre l'accesso in base ai ruoli e agli attributi delle vostre identità e risorse. Puoi definire il tuo modello di policy, creare e archiviare le policy in una posizione centrale e valutare le richieste di accesso in millisecondi.

In Autorizzazioni verificate, puoi esprimere le autorizzazioni utilizzando un linguaggio dichiarativo semplice e leggibile dall'uomo chiamato Cedar. Le politiche scritte in Cedar possono essere condivise tra i team indipendentemente dal linguaggio di programmazione utilizzato dall'applicazione di ciascun team.

Cosa considerare quando si utilizzano le autorizzazioni verificate

In Autorizzazioni verificate, puoi creare politiche e automatizzarle come parte del provisioning. È inoltre possibile creare policy in fase di esecuzione come parte della logica dell'applicazione. Come best practice, è consigliabile utilizzare una pipeline di integrazione e distribuzione continua (CI/CD) per amministrare, modificare e tenere traccia delle versioni delle policy quando si creano le policy come parte dell'onboarding e del provisioning dei tenant. In alternativa, un'applicazione può amministrare, modificare e tenere traccia delle versioni delle policy; tuttavia, la logica dell'applicazione non esegue intrinsecamente questa funzionalità. Per supportare queste funzionalità nell'applicazione, è necessario progettare esplicitamente l'applicazione in modo da implementare questa funzionalità.

Se è necessario fornire dati esterni provenienti da altre fonti per prendere una decisione di autorizzazione, tali dati devono essere recuperati e forniti a Verified Permissions come parte della richiesta di autorizzazione. Il contesto, le entità e gli attributi aggiuntivi non vengono recuperati per impostazione predefinita con questo servizio.