翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
PDP の DevOps、モニタリング、ログ記録、およびデータの取得
この提案された認可パラダイムでは、ポリシーは認可サービスに一元化されます。このガイドで説明する設計モデルの目標の 1 つは、ポリシーのデカップリング、またはアプリケーション内の他のコンポーネントからの認可ロジックの削除を達成することであるため、この一元化は意図的です。Amazon Verified Permissions と Open Policy Agent (OPA) はどちらも、認可ロジックの変更が必要な場合にポリシーを更新するためのメカニズムを提供します。
Verified Permissions の場合、プログラムでポリシーを更新するメカニズムは AWS SDK によって提供されます (Amazon Verified Permissions API リファレンスガイドを参照)。SDK を使用すると、新しいポリシーをオンデマンドでプッシュできます。さらに、Verified Permissions はマネージドサービスであるため、更新を実行するためにコントロールプレーンやエージェントを管理、設定、または維持する必要はありません。ただし、継続的インテグレーションと継続的デプロイ (CI/CD) パイプラインを使用して、 AWS SDK を使用した Verified Permissions ポリシーストアとポリシー更新のデプロイを管理することをお勧めします。
Verified Permissions では、オブザーバビリティ機能に簡単にアクセスできます。セキュリティインシデントや監査リクエストに迅速に対応できるように AWS CloudTrail、、、Amazon CloudWatch ロググループ、Amazon Simple Storage Service (Amazon S3) バケット、または Amazon Data Firehose 配信ストリームに対するすべてのアクセス試行を記録するように設定できます。さらに、 を通じて Verified Permissions サービスの正常性をモニタリングできます AWS Health Dashboard。Verified Permissions はマネージドサービスであるため、そのヘルスは によって維持され AWS、他の AWS マネージドサービスを使用してオブザーバビリティ機能を設定できます。
OPA の場合、REST APIs はプログラムでポリシーを更新する方法を提供します。APIsして、確立された場所から新しいバージョンのポリシーバンドルをプルしたり、オンデマンドでポリシーをプッシュしたりできます。さらに、OPA は、新しいエージェントを動的に設定し、検出バンドルを配布するコントロールプレーンによって一元管理できる基本的な検出サービスを提供します。(OPA のコントロールプレーンは、OPA オペレータによって設定および設定する必要があります)。ポリシーエンジンが Verified Permissions、OPA、または別のソリューションであるかどうかにかかわらず、ポリシーのバージョニング、検証、更新のための堅牢な CI/CD パイプラインを作成することをお勧めします。
OPA の場合、コントロールプレーンにはモニタリングと監査のオプションもあります。OPA の承認決定を含むログをリモート HTTP サーバーにエクスポートして、ログを集約できます。これらの決定ログは、監査の目的で非常に重要です。
アクセスコントロールの決定がアプリケーションから切り離される認可モデルの導入を検討している場合は、認可サービスに新しい PDPs のオンボーディングやポリシーの更新のための効果的なモニタリング、ログ記録、CI/CD 管理機能があることを確認してください。
