Best practice

Questa sezione elenca alcuni dei punti salienti di questa guida. Per discussioni dettagliate su ciascun punto, segui i collegamenti alle sezioni corrispondenti.

Seleziona un modello di controllo degli accessi adatto alla tua applicazione

Questa guida illustra diversi modelli di controllo degli accessi. A seconda dell'applicazione e dei requisiti aziendali, è necessario selezionare un modello adatto alle proprie esigenze. Considerate come potete utilizzare questi modelli per soddisfare le vostre esigenze di controllo degli accessi e in che modo le vostre esigenze di controllo degli accessi potrebbero evolversi, richiedendo modifiche all'approccio scelto.

Implementa un PDP

Il punto decisionale delle politiche (PDP) può essere caratterizzato come un motore di politiche o regole. Questo componente è responsabile dell'applicazione di politiche o regole e della decisione se consentire un determinato accesso. Un PDP consente di scaricare la logica di autorizzazione nel codice dell'applicazione su un sistema separato. Questo può semplificare il codice dell'applicazione. Fornisce inoltre un'interfaccia easy-to-use idempotente per prendere decisioni di autorizzazione per microservizi APIs, livelli di Backend for Frontend (BFF) o qualsiasi altro componente dell'applicazione. Un PDP può essere utilizzato per applicare i requisiti di locazione in modo coerente in un'applicazione.

Implementa PEPs per ogni API della tua applicazione

L'implementazione di un punto di applicazione delle politiche (PEP) richiede la determinazione del punto in cui deve avvenire l'applicazione del controllo degli accessi. Come primo passo, individuate i punti dell'applicazione che potete incorporare PEPs. Considerate questo principio quando decidete dove aggiungere PEPs:

Se un'applicazione espone un'API, dovrebbe esserci l'autorizzazione e il controllo degli accessi su quell'API.

Prendi in considerazione l'utilizzo di Amazon Verified Permissions o OPA come motore di policy per il tuo PDP

Amazon Verified Permissions offre vantaggi rispetto ai motori di policy personalizzati. È un servizio scalabile e dettagliato di gestione e autorizzazione delle autorizzazioni per le applicazioni che crei. Supporta la scrittura di politiche nel linguaggio dichiarativo open source di alto livello Cedar. Di conseguenza, l'implementazione di un motore di policy utilizzando Verified Permissions richiede meno sforzi di sviluppo rispetto all'implementazione di una soluzione propria. Inoltre, Verified Permissions è completamente gestita, quindi non è necessario gestire l'infrastruttura sottostante.

L'Open Policy Agent (OPA) presenta vantaggi rispetto ai motori di policy personalizzati. OPA e la sua valutazione delle politiche con Rego forniscono un motore di policy flessibile e predefinito che supporta la scrittura di politiche in un linguaggio dichiarativo di alto livello. Ciò riduce notevolmente il livello di impegno richiesto per l'implementazione di un motore di policy rispetto alla creazione di una soluzione personalizzata. Inoltre, l'OPA sta rapidamente diventando uno standard di autorizzazione ben supportato.

Implementa un piano di controllo per OPA per il monitoraggio DevOps e la registrazione

Poiché OPA non fornisce un mezzo per aggiornare e tenere traccia delle modifiche alla logica di autorizzazione tramite il controllo del codice sorgente, si consiglia di implementare un piano di controllo per eseguire queste funzioni. Ciò consentirà di distribuire più facilmente gli aggiornamenti agli agenti OPA, in particolare se OPA opera in un sistema distribuito, il che ridurrà l'onere amministrativo derivante dall'utilizzo di OPA. Inoltre, è possibile utilizzare un piano di controllo per raccogliere i registri per l'aggregazione e monitorare lo stato degli agenti OPA.

Configura le funzionalità di registrazione e osservabilità in Autorizzazioni verificate

Le autorizzazioni verificate forniscono un facile accesso alle funzionalità di osservabilità. Puoi configurare il servizio per registrare tutti i tentativi di accesso ai gruppi di CloudWatch log di Amazon AWS CloudTrail, ai bucket S3 o ai flussi di distribuzione di Amazon Data Firehose per consentire una risposta rapida agli incidenti di sicurezza e alle richieste di controllo. Inoltre, puoi monitorare lo stato del servizio tramite. AWS Health Dashboard Poiché Verified Permissions è un servizio gestito, la sua integrità viene gestita da AWS, ed è possibile configurarne le funzionalità di osservabilità utilizzando altri servizi AWS gestiti.

Utilizza una pipeline CI/CD per fornire e aggiornare gli archivi di policy e le policy in Verified Permissions

Verified Permissions è un servizio gestito, quindi non è necessario gestire, configurare o mantenere piani di controllo o agenti per eseguire gli aggiornamenti. Tuttavia, ti consigliamo comunque di utilizzare una pipeline di integrazione e distribuzione continua (CI/CD) per amministrare la distribuzione degli archivi di policy e degli aggiornamenti delle policy per le autorizzazioni verificate utilizzando l'SDK. AWS Questo sforzo può eliminare il lavoro manuale e ridurre la probabilità di errori dell'operatore quando si apportano modifiche alle risorse di Autorizzazioni verificate.

Determina se i dati esterni sono necessari per le decisioni di autorizzazione e seleziona un modello adatto

Se un PDP può prendere decisioni di autorizzazione basate esclusivamente sui dati contenuti in un JSON Web Token (JWT), di solito non è necessario importare dati esterni per facilitare il processo decisionale. Se utilizzi Autorizzazioni verificate o OPA come PDP, può anche accettare input aggiuntivi che vengono trasmessi come parte della richiesta, anche se questi dati non sono inclusi in un JWT. Per le autorizzazioni verificate, puoi utilizzare un parametro di contesto per i dati aggiuntivi. Per OPA, puoi utilizzare i dati JSON come input di sovraccarico. Se si utilizza un JWT, i metodi di input contestuali o di sovraccarico sono generalmente molto più semplici rispetto alla conservazione dei dati esterni in un'altra fonte. Se sono necessari dati esterni più complessi per prendere decisioni di autorizzazione, OPA offre diversi modelli per il recupero di dati esterni e Verified Permissions può integrare i dati nelle sue richieste di autorizzazione facendo riferimento a fonti esterne con un servizio di autorizzazione.