DevOps, monitoraggio, registrazione e recupero dei dati per un PDP - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

DevOps, monitoraggio, registrazione e recupero dei dati per un PDP

In questo paradigma di autorizzazione proposto, le politiche sono centralizzate nel servizio di autorizzazione. Questa centralizzazione è intenzionale perché uno degli obiettivi dei modelli di progettazione discussi in questa guida è quello di ottenere il disaccoppiamento delle politiche o la rimozione della logica di autorizzazione dagli altri componenti dell'applicazione. Sia Amazon Verified Permissions che Open Policy Agent (OPA) forniscono meccanismi per aggiornare le politiche quando sono necessarie modifiche alla logica di autorizzazione.

Nel caso delle autorizzazioni verificate, i meccanismi per l'aggiornamento programmatico delle politiche sono offerti dall' AWS SDK (consulta la Amazon Verified Permissions API Reference Guide). Utilizzando l'SDK, puoi implementare nuove politiche su richiesta. Inoltre, poiché Verified Permissions è un servizio gestito, non è necessario gestire, configurare o mantenere piani di controllo o agenti per eseguire gli aggiornamenti. Tuttavia, ti consigliamo di utilizzare una pipeline di integrazione e distribuzione continua (CI/CD) per amministrare la distribuzione degli archivi di policy per le autorizzazioni verificate e gli aggiornamenti delle policy utilizzando l'SDK. AWS

Le autorizzazioni verificate forniscono un facile accesso alle funzionalità di osservabilità. Può essere configurato per registrare tutti i tentativi di accesso ai gruppi di CloudWatch log di Amazon AWS CloudTrail, ai bucket Amazon Simple Storage Service (Amazon S3) o ai flussi di distribuzione di Amazon Data Firehose per consentire una risposta rapida agli incidenti di sicurezza e alle richieste di controllo. Inoltre, puoi monitorare lo stato del servizio Autorizzazioni verificate tramite. AWS Health Dashboard Poiché Verified Permissions è un servizio gestito, il suo stato è mantenuto da AWS, ed è possibile configurare le funzionalità di osservabilità utilizzando altri AWS servizi gestiti.

Nel caso dell'OPA, le API REST offrono modi per aggiornare le politiche in modo programmatico. È possibile configurare le API per estrarre nuove versioni dei pacchetti di policy da posizioni consolidate o per inviare policy su richiesta. Inoltre, OPA offre un servizio di discovery di base in cui i nuovi agenti possono essere configurati dinamicamente e gestiti centralmente da un piano di controllo che distribuisce i Discovery Bundle. (Il piano di controllo per OPA deve essere impostato e configurato dall'operatore OPA.) Si consiglia di creare una solida pipeline CI/CD per il controllo delle versioni, la verifica e l'aggiornamento delle politiche, indipendentemente dal fatto che il motore delle politiche sia Verified Permissions, OPA o un'altra soluzione.

Per OPA, il piano di controllo offre anche opzioni per il monitoraggio e il controllo. È possibile esportare i log che contengono le decisioni di autorizzazione dell'OPA su server HTTP remoti per l'aggregazione dei log. Questi registri decisionali sono preziosi per scopi di controllo.

Se state pensando di adottare un modello di autorizzazione in cui le decisioni sul controllo degli accessi siano disaccoppiate dall'applicazione, assicuratevi che il servizio di autorizzazione disponga di funzionalità efficaci di monitoraggio, registrazione e gestione CI/CD per l'onboarding di nuovi PDP o l'aggiornamento delle politiche.