Amazon 검증 권한 및 Cedar 정책 언어 용어 및 개념

Amazon Verified Permissions를 사용하려면 다음 개념을 이해해야 합니다.

Verified Permissions 개념

• 권한 부여 모델
• 권한 부여 요청
• 권한 부여 응답
• 고려 대상 정책
• 컨텍스트 데이터
• 결정적 정책
• 엔터티 데이터
• 권한, 권한 부여 및 보안 주체
• 정책 적용
• 정책 스토어
• 충족 대상 정책
• Amazon 검증 권한과 Cedar 정책 언어 간의 차이점

Cedar 정책 언어 개념

• 권한 부여

• 엔터티

• 그룹 및 계층

• 네임스페이스

• 정책

• 정책 템플릿

• 스키마

권한 부여 모델

권한 부여 모델은 애플리케이션이 수행하는 권한 부여 요청의 범위와 이러한 요청을 평가하는 기준을 설명합니다. 이는 다양한 유형의 리소스, 해당 리소스에 대해 수행되는 작업, 해당 작업을 수행하는 보안 주체 유형에 따라 정의됩니다. 또한 이러한 작업이 수행되는 상황도 고려됩니다.

역할 기반 액세스 제어 (RBAC) 는 역할을 정의하고 권한 집합과 연결하는 평가 기준입니다. 이러한 역할은 하나 이상의 자격 증명에 할당할 수 있습니다. 할당된 자격 증명은 역할에 연결된 권한을 획득하게 됩니다. 역할에 연결된 권한이 변경되면 변경 내용은 역할이 할당된 모든 자격 증명에 자동으로 영향을 미칩니다. Cedar는 주도자 그룹을 사용하여 RBAC 의사 결정을 지원할 수 있습니다.

속성 기반 액세스 제어 (ABAC) 는 ID와 관련된 권한을 해당 ID의 속성에 따라 결정하는 평가 기준입니다. Cedar는 주도자의 속성을 참조하는 정책 조건을 사용하여 ABAC 의사 결정을 지원할 수 있습니다.

Cedar 정책 언어를 사용하면 속성 기반 조건을 가진 사용자 그룹에 대해 권한을 정의할 수 있으므로 단일 정책으로 두 가지를 결합할 수 있습니다. RBAC ABAC

권한 부여 요청

권한 부여 요청은 애플리케이션이 일련의 정책을 평가하여 보안 주체가 해당 컨텍스트에서 리소스에 대한 작업을 수행할 수 있는지 여부를 확인하기 위해 수행하는 Verified Permissions 요청입니다.

권한 부여 응답

권한 부여 응답은 권한 부여 요청에 대한 응답입니다. 여기에는 허용 또는 거부 결정과 함께 결정 정책과 같은 추가 정보가 포함됩니다. IDs

고려 대상 정책

고려 대상 정책은 인증 요청을 평가할 때 Verified Permissions이 포함하도록 선택한 전체 정책 집합입니다.

컨텍스트 데이터

컨텍스트 데이터는 평가할 추가 정보를 제공하는 속성 값입니다.

결정적 정책

결정적 정책은 권한 부여 응답을 결정하는 정책입니다. 예를 들어 충족된 정책이 두 개일 때 하나는 거부이고 다른 하나는 허용인 경우 거부 정책이 결정적 정책이 됩니다. 충족된 허용 정책이 여러 개 있고 충족된 금지 정책이 없는 경우 여러 결정적 정책이 있는 것입니다. 일치하는 정책이 없고 응답이 거부인 경우에는 결정적 정책이 없습니다.

엔터티 데이터

엔터티 데이터는 보안 주체, 작업, 리소스에 대한 데이터입니다. 정책 평가와 관련된 엔터티 데이터는 보안 주체 및 리소스의 엔터티 계층 구조 및 속성 값까지 포함하는 그룹 멤버십입니다.

권한, 권한 부여 및 보안 주체

Verified Permissions는 사용자가 빌드한 사용자 지정 애플리케이션 내에서 세분화된 권한 및 권한 부여를 관리합니다.

보안 주체는 사용자 이름 또는 시스템 ID와 같은 식별자에 연결된 자격 증명을 보유한 애플리케이션의 사용자로 사용자 또는 시스템입니다. 인증 프로세스는 보안 주체가 실제로 해당 자격 증명이 맞는지 여부를 판단합니다.

이러한 자격 증명에는 해당 애플리케이션 내에서 해당 주체가 무엇을 할 수 있는지 결정하는 애플리케이션 권한 집합이 연결되어 있습니다. 권한 부여는 이러한 권한을 평가하여 보안 주체가 애플리케이션에서 특정 작업을 수행할 수 있는지 여부를 결정하는 프로세스입니다. 이러한 권한은 정책으로 표현될 수 있습니다.

정책 적용

정책 적용은 Verified Permissions 외부에서 애플리케이션 내 평가 결정을 적용하는 프로세스입니다. Verified Permissions 평가 결과로 거부가 반환되는 경우 정책 적용을 통해 보안 주체가 리소스에 액세스하지 못하도록 할 수 있습니다.

정책 스토어

정책 스토어는 정책 및 템플릿의 컨테이너입니다. 각 스토어에는 스토어에 추가된 정책을 검증하는 데 사용되는 스키마가 있습니다. 기본적으로 각 애플리케이션에는 자체 정책 스토어가 있지만 여러 애플리케이션이 단일 정책 스토어를 공유할 수 있습니다. 애플리케이션이 권한 부여 요청을 하면 해당 요청을 평가하는 데 사용된 정책 스토어를 식별합니다. 정책 스토어는 일련의 정책을 분리하는 방법을 제공하므로 다중 테넌트 애플리케이션에서 각 테넌트에 대한 스키마와 정책을 포함하는 데 사용할 수 있습니다. 단일 애플리케이션은 각 테넌트에 대해 별도의 정책 스토어를 가질 수 있습니다.

권한 부여 요청을 평가할 때 Verified Permissions는 해당 요청과 관련된 정책 스토어의 일부 정책만 고려합니다. 관련성은 정책 범위에 따라 결정됩니다. 범위는 정책이 적용되는 특정 보안 주체 및 리소스, 그리고 보안 주체가 해당 리소스에서 수행할 수 있는 작업을 식별합니다. 범위를 정의하면 고려 대상 정책의 범위를 좁혀 성능을 개선하는 데 도움이 됩니다.

충족 대상 정책

충족 대상 정책은 권한 부여 요청의 매개변수와 일치하는 정책입니다.