Amazon Verified Permissions とは何でしょうか？

Amazon Verified Permissions は、お客様が作成したカスタムアプリケーション向けの、スケーラブルできめ細かな権限管理および認証サービスです。Verified Permissions を利用すると、認証を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。Verified Permissions は Cedar ポリシー言語を使用して、アプリケーションユーザーの権限をきめ細かく定義します。

Amazon Verified Permissions による認証

Verified Permissions は、プリンシパルがカスタムアプリケーションの特定のコンテキスト内のリソースに対してアクションを実行できるかどうかを検証することで認証を行います。認証済みアクセス権限は、プリンシパルが OpenID Connect などのプロトコル、Amazon Cognito などのホストプロバイダー、または別の認証ソリューションを使用するなど、他の手段で以前に識別および認証されていることを前提としています。Verified Permissions は、ユーザーがどこで管理され、どのように認証されたかに依存しません。

Verified Permissions は、顧客が AWS Management Consoleでポリシーを作成、管理、テストできるようにするサービスです。権限は Cedar ポリシー言語を使用して表現されます。クライアントアプリケーションは認証 API を呼び出して、サービスに保存されている Cedar ポリシーを評価し、アクションが許可されるかどうかのアクセス判断を行います。

Cedar ポリシー言語

Verified Permissions の認証ポリシーは Cedar ポリシー言語を使用して記述されます。Cedar は、認証ポリシーを記述し、そのポリシーに基づいて認証決定を行うためのオープンソース言語です。アプリケーションを作成するときは、許可されたユーザーだけがアプリケーションにアクセスできるようにし、各ユーザーが許可されていることだけを実行できるようにする必要があります。Cedar を使えば、ビジネスロジックを認可ロジックから切り離すことができます。アプリケーションのコードでは、オペレーションに対するリクエストの前に Cedar 認証エンジンを呼び出し、「このリクエストは認証されていますか?」と尋ねます。次に、アプリケーションは、決定が「許可」の場合は要求された操作を実行し、決定が「拒否」の場合はエラーメッセージを返すことができます。

Verified Permissions は現在 Cedar バージョン 2.4 を使用しています。

Cedar の詳細については、以下を参照してください。

• Cedar ポリシー言語リファレンスガイド

• Cedar GitHub リポジトリ

Verified Permissions の利点

アプリケーションの開発を加速

認証をビジネスロジックから切り離すことで、アプリケーション開発を加速します。

より安全なアプリケーション

Verified Permissions により、デベロッパーはより安全なアプリケーションを構築できます。

エンドユーザー機能

Verified Permissions により、権限管理のためのより充実したエンドユーザー機能を提供できます。

関連サービス

• Amazon Cognito はウェブアプリとモバイルアプリ用のアイデンティティプラットフォームです。これは、ユーザーディレクトリや認証サーバーであり、さらには、OAuth 2.0 アクセストークンと AWS 認証情報の認証サービスです。ポリシーストアを作成するときに、Amazon Cognito ユーザープールからプリンシパルとグループを構築するオプションがあります。詳細については、「Amazon Cognito デベロッパーガイド」をご覧ください。

• Amazon API Gateway – Amazon API Gateway は AWS 、REST、HTTP、API をあらゆる規模で作成、公開、保守、モニタリング、保護するための サービス WebSocket APIs。ポリシーストアを作成するときは、API Gateway の API からアクションとリソースを構築できます。API Gateway の詳細については、「API Gateway デベロッパーガイド」を参照してください。

• AWS IAM Identity Center— IAM アイデンティティセンター を使用すると、ワークフォースユーザーとも呼ばれるワークフォース ID のサインインセキュリティを管理できます。IAM Identity Center では、ワークフォースユーザーを作成または接続し、すべての AWS アカウント およびアプリケーションへのアクセスを一元管理できます。詳細については、「AWS IAM Identity Center ユーザーガイド」を参照してください。

Verified Permissions へのアクセス

Amazon Verified Permissions は次のいずれかの方法で使用できます。

AWS Management Console

コンソールは Verified Permissions および AWS リソースを管理するためのブラウザーベースのインターフェイスです。コンソールから IAM にアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「AWSにサインインする方法」を参照してください。

• Amazon Verified Permissions コンソール

AWS コマンドラインツール

AWS コマンドラインツールを使用して、システムのコマンドラインでコマンドを発行し、Verified Permissions と AWS タスクを実行できます。コマンドラインを使用すると、コンソールよりも高速で便利になります。コマンドラインツールは、 AWS のタスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface (AWS CLI) と の 2 セットのコマンドラインツールが用意されていますAWS Tools for Windows PowerShell。のインストールと使用については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。Tools for Windows のインストールと使用については PowerShell、「 AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。

• AWS CLI コマンドリファレンスの verifiedpermissions

• での Amazon Verified Permissions AWS Tools for Windows PowerShell

AWS SDKs

AWS はSDKs (ソフトウェア開発キット) を提供します。SDK は、Verified Permissions や AWSへのプログラムによるアクセス許可を作成するのに役立ちます。例えば、SDK は要求への暗号を使用した署名、エラーの管理、要求の自動的な再試行などのタスクを処理します。

詳細と AWS SDKs「 Tools for Amazon Web Services」を参照してください。

以下は、さまざまな AWS SDKs。

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto)

• AWS SDK for Ruby

AWS CDK コンストラクト

AWS Cloud Development Kit (AWS CDK) は、コードでクラウドインフラストラクチャを定義し、 を通じてプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです AWS CloudFormation。テンプレートの作成には、コンストラクトまたは再利用可能なクラウドコンポーネントを使用できます AWS CloudFormation 。その後、これらのテンプレートを使用してクラウドインフラストラクチャをデプロイできます。

詳細と AWS CDKsAWS 「 クラウド開発キット」を参照してください。

以下は、 コンストラクトなどの Verified Permissions AWS CDK リソースのドキュメントへのリンクです。

• Amazon Verified Permissions L2 CDK コンストラクト

Verified Permissions API

Verified Permissions API を使用すると、Verified Permissions および に AWS プログラムでアクセスできます。これにより、HTTPS リクエストをサービスに直接発行できます。 API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。

• Amazon Verified Permissions API リファレンスガイド

Verified Permissions の料金

Verified Permissions は、アプリケーションが検証済み権限に対して行う 1 か月あたりの認証リクエスト数に基づいて段階的に課金されます。また、ポリシー管理アクションには、アプリケーションがVerified Permissions に対して毎月行うcURL（クライアントURL）ポリシーAPIリクエストの量に基づく料金設定もあります。

Verified Permissions の課金および料金の詳細な一覧については、「Amazon Verified Permissions の料金表」を参照してください。

請求を表示するには、AWS Billing and Cost Management コンソールで請求およびコスト管理ダッシュボードに移動します。請求書には、料金の明細が記載された使用状況レポートへのリンクが記載されています。 AWS アカウント 請求の詳細については、「 AWS Billing ユーザーガイド」を参照してください。

AWS 請求、アカウント、イベントに関するご質問は、 にお問い合わせください AWS Support。