Panoramica di Rego

Rego è un linguaggio di policy generico, il che significa che funziona per qualsiasi livello dello stack e per qualsiasi dominio. Lo scopo principale di Rego è accettare input e dati JSON/YAML che vengono valutati per prendere decisioni basate sulle politiche sulle risorse, le identità e le operazioni dell'infrastruttura. Rego consente di scrivere policy su qualsiasi livello di uno stack o di un dominio senza richiedere una modifica o un'estensione del linguaggio. Ecco alcuni esempi di decisioni che Rego può prendere:

Questa richiesta API è consentita o rifiutata?
Qual è il nome host del server di backup per questa applicazione?
Qual è il punteggio di rischio associato a questa modifica dell'infrastruttura proposta?
In quali cluster deve essere distribuito questo container per un'elevata disponibilità?
Quali informazioni di routing devono essere utilizzate per questo microservizio?

Per rispondere a queste domande, Rego utilizza una filosofia di base su come queste decisioni possono essere prese. I due principi chiave nella stesura della politica in Rego sono:

Ogni risorsa, identità o operazione può essere rappresentata come dati JSON o YAML.
La policy è la logica applicata ai dati.

Rego aiuta i sistemi software a prendere decisioni di autorizzazione definendo la logica su come vengono valutati gli input dei dati JSON/YAML. I linguaggi di programmazione come C, Java, Go e Python sono la soluzione abituale a questo problema, ma Rego è stato progettato per concentrarsi sui dati e sugli input che rappresentano il sistema e sulla logica per prendere decisioni politiche con queste informazioni.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usare OPA

Esempio 1: ABAC di base con OPA e Rego