기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
PDP에 대한 DevOps, 모니터링, 로깅 및 데이터 검색
이 제안된 권한 부여 패러다임에서 정책은 권한 부여 서비스에서 중앙 집중화됩니다. 이 가이드에서 설명하는 설계 모델의 목표 중 하나는 정책 분리를 달성하거나 애플리케이션의 다른 구성 요소에서 권한 부여 로직을 제거하는 것이기 때문에이 중앙 집중화는 의도적으로 이루어집니다. Amazon Verified Permissions와 Open Policy Agent(OPA)는 모두 권한 부여 로직 변경이 필요한 경우 정책을 업데이트하는 메커니즘을 제공합니다.
Verified Permissions의 경우 AWS SDK에서 정책을 프로그래밍 방식으로 업데이트하기 위한 메커니즘을 제공합니다(Amazon Verified Permissions API 참조 가이드 참조). SDK를 사용하면 온디맨드 방식으로 새 정책을 푸시할 수 있습니다. 또한 Verified Permissions는 관리형 서비스이므로 업데이트를 수행하기 위해 컨트롤 플레인 또는 에이전트를 관리, 구성 또는 유지 관리할 필요가 없습니다. 그러나 SDK를 사용하여 Verified Permissions 정책 스토어 및 정책 업데이트의 배포를 관리하려면 지속적 통합 및 지속적 배포(CI/CD) 파이프라인을 사용하는 것이 좋습니다 AWS .
Verified Permissions는 관찰성 기능에 쉽게 액세스할 수 있습니다. Amazon CloudWatch 로그 그룹 AWS CloudTrail, Amazon Simple Storage Service(Amazon S3) 버킷 또는 Amazon Data Firehose 전송 스트림에 대한 모든 액세스 시도를 로깅하도록 구성하여 보안 인시던트 및 감사 요청에 신속하게 대응할 수 있습니다. 또한를 통해 Verified Permissions 서비스의 상태를 모니터링할 수 있습니다 AWS Health Dashboard. Verified Permissions는 관리형 서비스이므로에서 상태를 유지 AWS하며 다른 AWS 관리형 서비스를 사용하여 관찰성 기능을 구성할 수 있습니다.
OPA의 경우 REST APIs 프로그래밍 방식으로 정책을 업데이트하는 방법을 제공합니다. 설정된 위치에서 새 버전의 정책 번들을 가져오거나 온디맨드 정책을 푸시하도록 APIs를 구성할 수 있습니다. 또한 OPA는 검색 번들을 배포하는 컨트롤 플레인에서 새 에이전트를 동적으로 구성하고 중앙에서 관리할 수 있는 기본 검색 서비스를 제공합니다. (OPA용 컨트롤 플레인은 OPA 운영자가 설정하고 구성해야 합니다.) 정책 엔진이 Verified Permissions, OPA 또는 다른 솔루션인지 여부에 관계없이 정책을 버전 관리, 확인 및 업데이트하기 위한 강력한 CI/CD 파이프라인을 생성하는 것이 좋습니다.
OPA의 경우 컨트롤 플레인은 모니터링 및 감사 옵션도 제공합니다. 로그 집계를 위해 OPA의 권한 부여 결정이 포함된 로그를 원격 HTTP 서버로 내보낼 수 있습니다. 이러한 결정 로그는 감사 목적으로 매우 중요합니다.
액세스 제어 결정이 애플리케이션에서 분리되는 권한 부여 모델을 채택하는 것을 고려하는 경우 권한 부여 서비스에 새 PDPs 온보딩 또는 정책 업데이트를 위한 효과적인 모니터링, 로깅 및 CI/CD 관리 기능이 있는지 확인하세요.
주제
