Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Termini e concetti relativi al linguaggio delle politiche Amazon Verified Permissions e Cedar
È necessario comprendere i seguenti concetti per utilizzare Amazon Verified Permissions.
Concetti relativi alle autorizzazioni verificate
- Modello di autorizzazione
- Richiesta di autorizzazione
- Risposta di autorizzazione
- Politiche considerate
- Dati contestuali
- Definizione delle politiche
- Dati dell'entità
- Autorizzazioni, autorizzazioni e principi
- Applicazione delle politiche
- Archivio delle politiche
- Politiche soddisfatte
- Differenze tra Amazon Verified Permissions e il linguaggio delle policy Cedar
Concetti del linguaggio Cedar Policy
Modello di autorizzazione
Il modello di autorizzazione descrive l'ambito delle richieste di autorizzazione effettuate dall'applicazione e la base per la valutazione di tali richieste. È definito in termini di diversi tipi di risorse, azioni intraprese su tali risorse e tipi principali che eseguono tali azioni. Considera inoltre il contesto in cui vengono intraprese tali azioni.
Il controllo degli accessi basato sui ruoli (RBAC) è una base di valutazione in cui i ruoli sono definiti e associati a una serie di autorizzazioni. Questi ruoli possono quindi essere assegnati a una o più identità. L'identità assegnata acquisisce le autorizzazioni associate al ruolo. Se le autorizzazioni associate al ruolo vengono modificate, la modifica influirà automaticamente su qualsiasi identità a cui è stato assegnato il ruolo. Cedar può supportare RBAC le decisioni attraverso l'uso di gruppi principali.
Access Control basato sugli attributi (ABAC) è una base di valutazione in cui le autorizzazioni associate a un'identità sono determinate dagli attributi di tale identità. Cedar può supportare ABAC le decisioni attraverso l'uso di condizioni politiche che fanno riferimento agli attributi del principale.
Il linguaggio di policy Cedar consente la combinazione di RBAC e ABAC in un'unica politica, consentendo di definire le autorizzazioni per un gruppo di utenti, che dispongono di condizioni basate sugli attributi.
Richiesta di autorizzazione
Una richiesta di autorizzazione è una richiesta di autorizzazioni verificate effettuata da un'applicazione per valutare un insieme di politiche al fine di determinare se un responsabile può eseguire un'azione su una risorsa per un determinato contesto.
Risposta di autorizzazione
La risposta di autorizzazione è la risposta alla richiesta di autorizzazione. Include una decisione di autorizzazione o rifiuto, oltre a informazioni aggiuntive, come le IDs politiche determinanti.
Politiche considerate
Le politiche considerate sono l'insieme completo di politiche che vengono selezionate da Verified Permissions per l'inclusione durante la valutazione di una richiesta di autorizzazione.
Dati contestuali
I dati contestuali sono valori di attributo che forniscono informazioni aggiuntive da valutare.
Definizione delle politiche
Le politiche determinanti sono le politiche che determinano la risposta di autorizzazione. Ad esempio, se esistono due politiche soddisfatte, in cui una è una negazione e l'altra è una politica di autorizzazione, la politica di rifiuto sarà la politica determinante. Se esistono più politiche di autorizzazione soddisfatte e nessuna politica di divieto soddisfatto, esistono più politiche di determinazione. Nel caso in cui nessuna politica corrisponda e la risposta sia negata, non esistono politiche determinanti.
Dati dell'entità
I dati dell'entità sono dati relativi al principale, all'azione e alla risorsa. I dati delle entità rilevanti per la valutazione delle politiche sono l'appartenenza al gruppo fino alla gerarchia delle entità e i valori degli attributi del principale e della risorsa.
Autorizzazioni, autorizzazioni e principi
Verified Permissions gestisce autorizzazioni e autorizzazioni dettagliate all'interno delle applicazioni personalizzate create dall'utente.
Un principale è l'utente di un'applicazione, umano o automatico, che ha un'identità legata a un identificatore come un nome utente o un ID macchina. Il processo di autenticazione determina se il principale è realmente l'identità che dichiara di essere.
A tale identità è associato un insieme di autorizzazioni dell'applicazione che determinano le operazioni che tale preside è autorizzato a fare all'interno dell'applicazione. L'autorizzazione è il processo di valutazione di tali autorizzazioni per determinare se una persona principale è autorizzata a eseguire una particolare azione nell'applicazione. Queste autorizzazioni possono essere espresse come politiche.
Applicazione delle politiche
L'applicazione delle politiche è il processo di applicazione della decisione di valutazione all'interno dell'applicazione al di fuori delle autorizzazioni verificate. Se la valutazione delle autorizzazioni verificate restituisce un rifiuto, l'applicazione assicurerà che al principale sia impedito l'accesso alla risorsa.
Archivio delle politiche
Un policy store è un contenitore per policy e modelli. Ogni negozio contiene uno schema utilizzato per convalidare le politiche aggiunte all'archivio. Per impostazione predefinita, ogni applicazione dispone del proprio archivio delle politiche, ma più applicazioni possono condividere un unico archivio delle politiche. Quando un'applicazione effettua una richiesta di autorizzazione, identifica l'archivio delle politiche utilizzato per valutare tale richiesta. Gli archivi di policy forniscono un modo per isolare un set di policy e possono quindi essere utilizzati in un'applicazione multi-tenant per contenere gli schemi e le politiche per ogni tenant. Una singola applicazione può avere archivi di policy separati per ogni tenant.
Nel valutare una richiesta di autorizzazione, Verified Permissions considera solo il sottoinsieme delle politiche del policy store pertinenti alla richiesta. La pertinenza viene determinata in base all'ambito della politica. L'ambito identifica il principale e la risorsa specifici a cui si applica la politica e le azioni che il principale può eseguire sulla risorsa. La definizione dell'ambito aiuta a migliorare le prestazioni restringendo l'insieme delle politiche prese in considerazione.
Politiche soddisfatte
Le politiche soddisfatte sono le politiche che corrispondono ai parametri della richiesta di autorizzazione.
