Rego の概要

Rego は汎用ポリシー言語です。つまり、スタックの任意のレイヤーと任意のドメインで機能します。Rego の主な目的は、JSON/YAML 入力とデータを受け入れ、インフラストラクチャリソース、アイデンティティ、およびオペレーションに関するポリシー対応の決定を行うために評価されることです。Rego を使用すると、言語の変更や拡張を必要とせずに、スタックまたはドメインの任意のレイヤーに関するポリシーを作成できます。Rego が実行できる決定の例を次に示します。

この API リクエストは許可または拒否されますか？
このアプリケーションのバックアップサーバーのホスト名は何ですか？
この提案されたインフラストラクチャ変更のリスクスコアはどのくらいですか？
高可用性を実現するために、このコンテナをどのクラスターにデプロイする必要がありますか？
このマイクロサービスにはどのようなルーティング情報を使用する必要がありますか？

これらの質問に答えるために、Rego はこれらの決定を行う方法に関する基本的な哲学を採用しています。Rego でポリシーを作成する際の 2 つの重要な原則は次のとおりです。

すべてのリソース、アイデンティティ、またはオペレーションは、JSON データまたは YAML データとして表すことができます。
ポリシーは、データに適用されるロジックです。

Rego は、JSON/YAML データの入力の評価方法に関するロジックを定義することで、ソフトウェアシステムが認可を決定するのに役立ちます。この問題の通常の解決策は C、Java、Go、Python などのプログラミング言語ですが、Rego はシステムを表すデータと入力、およびこの情報を使用してポリシーを決定するためのロジックに焦点を当てるように設計されています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

OPA の使用

例 1: OPA と Rego を使用した基本的な ABAC