Rego の概要

Rego は汎用ポリシー言語です。つまり、スタックの任意のレイヤーとドメインで機能します。Rego の主な目的は、インフラストラクチャリソース、ID、およびオペレーションに関するポリシー対応の決定を行うために評価される JSON/YAML 入力とデータを受け入れることです。Rego を使用すると、言語の変更や拡張を必要とせずに、スタックまたはドメインの任意のレイヤーに関するポリシーを記述できます。Rego が実行できる決定の例を次に示します。

この API リクエストは許可または拒否されますか？
このアプリケーションのバックアップサーバーのホスト名は何ですか？
この提案されたインフラストラクチャ変更のリスクスコアはどのくらいですか？
高可用性を実現するために、このコンテナをどのクラスターにデプロイすべきですか？
このマイクロサービスにはどのようなルーティング情報を使用する必要がありますか？

これらの質問に答えるために、Rego はこれらの決定方法に関する基本的な哲学を採用しています。Rego でポリシーを作成するときの 2 つの重要な原則は次のとおりです。

すべてのリソース、アイデンティティ、またはオペレーションは、JSON または YAML データとして表現できます。
ポリシーは、データに適用されるロジックです。

Rego は、JSON/YAML データの入力の評価方法に関するロジックを定義することで、ソフトウェアシステムが承認を決定するのに役立ちます。この問題に対する一般的な解決策は C、Java、Go、Python などのプログラミング言語ですが、Rego はシステムを表すデータと入力、およびこの情報を使用してポリシーを決定するためのロジックに焦点を当てるように設計されています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

OPA の使用

例 1: OPA と Rego を使用した基本的な ABAC