Amazon Verified Permissions란 무엇인가요?

Amazon Verified Permissions는 사용자가 빌드한 사용자 지정 애플리케이션을 위한 확장 가능하고 세분화된 권한 관리 및 권한 부여 서비스입니다. Verified Permissions를 사용하면 외부에서 권한을 부여하고 중앙에서 정책을 관리하고 운영하여 개발자가 안전한 애플리케이션을 더 빠르게 빌드할 수 있습니다. Verified Permissions는 Cedar 정책 언어를 사용하여 애플리케이션 사용자에 대한 세분화된 권한을 정의합니다.

Amazon Verified Permissions의 권한 부여

Verified Permissions는 사용자 지정 애플리케이션의 지정된 컨텍스트에서 보안 주체가 리소스에 대한 작업을 수행할 수 있는지 여부를 확인하여 권한을 부여합니다. Verified Permissions는 OpenID Connect와 같은 프로토콜, Amazon Cognito와 같은 호스팅 공급자 또는 다른 인증 솔루션 등 다른 수단을 사용하여 보안 주체가 이전에 식별되고 인증된 것으로 가정합니다. Verified Permissions는 사용자가 관리되는 위치 및 사용자 인증 방법에 구애받지 않습니다.

Verified Permissions는 고객이 AWS Management Console에서 정책을 작성, 유지 관리 및 테스트할 수 있도록 하는 서비스입니다. 권한은 Cedar 정책 언어를 사용하여 표현됩니다. 클라이언트 애플리케이션은 권한 부여 API를 호출하여 서비스에 저장된 Cedar 정책을 평가하고 작업 허용 여부에 대한 액세스 결정을 제공합니다.

Cedar 정책 언어

Verified Permissions의 권한 부여 정책은 Cedar 정책 언어를 사용하여 작성됩니다. Cedar는 권한 부여 정책을 작성하고 해당 정책을 기반으로 권한 부여 결정을 내리는 데 사용되는 오픈 소스 언어입니다. 애플리케이션을 만들 때는 승인된 사용자만 애플리케이션에 액세스할 수 있고 각 사용자가 권한을 부여받은 작업만 수행할 수 있도록 해야 합니다. Cedar를 사용하면 비즈니스 로직을 권한 부여 로직에서 분리할 수 있습니다. 애플리케이션 코드에서는 작업에 대한 요청 앞에 Cedar 권한 부여 엔진을 호출하여 “이 요청에 대한 권한이 부여되었습니까?”라고 묻습니다. 그러면 애플리케이션은 해당 결정이 “허용”이면 요청된 작업을 수행하고 “거부”인 경우 오류 메시지를 반환할 수 있습니다.

검증된 권한은 현재 Cedar 버전 2.4를 사용합니다.

Cedar에 대한 자세한 내용은 다음을 참조하세요.

• Cedar 정책 언어 참조 가이드

• 시더 리포지토리 GitHub

Verified Permissions의 이점

애플리케이션 개발 가속화

권한 부여를 비즈니스 로직과 분리하여 애플리케이션 개발을 가속화합니다.

애플리케이션 보안 강화

Verified Permissions를 통해 개발자는 더 안전한 애플리케이션을 빌드할 수 있습니다.

최종 사용자 기능

Verified Permissions를 사용하면 권한 관리를 위해 보다 풍부한 최종 사용자 기능을 제공할 수 있습니다.

관련 서비스

• Amazon Cognito – Amazon Cognito는 웹 및 모바일 앱을 위한 자격 증명 플랫폼입니다. Amazon Cognito는 OAuth 2.0 액세스 토큰 및  AWS  보안 인증을 위한 사용자 디렉터리, 인증 서버, 인증 서비스입니다. 정책 스토어를 생성할 때 Amazon Cognito 사용자 풀에서 보안 주체와 그룹을 구축할 수 있습니다. 자세한 정보는 Amazon Cognito 개발자 안내서를 참조하세요.

• Amazon API Gateway — Amazon API Gateway는 모든 규모에서 REST, HTTP 및 WebSocket API를 생성, 게시, 유지 관리, 모니터링 및 보호하는 AWS 서비스입니다. 정책 저장소를 생성할 때 API Gateway의 API를 기반으로 작업과 리소스를 구축할 수 있습니다. API Gateway에 대한 자세한 내용은 API Gateway 개발자 안내서를 참조하십시오.

• AWS IAM Identity Center— IAM Identity Center를 사용하면 직원 ID(직원 사용자)의 로그인 보안을 관리할 수 있습니다. IAM Identity Center는 인력 사용자를 생성하거나 연결하고 모든 직원 및 애플리케이션에 대한 액세스를 중앙에서 관리할 수 있는 한 곳을 제공합니다. AWS 계정 자세한 내용은 AWS IAM Identity Center 사용 설명서를 참조하십시오.

Verified Permissions에 액세스

다음 방법 중 하나를 사용하여 Amazon Verified Permissions에서 작업할 수 있습니다.

AWS Management Console

콘솔은 Verified Permissions 및 AWS 리소스를 관리하기 위한 브라우저 기반 인터페이스입니다. 콘솔을 통하여 Verified Permissions에 액세스하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서의 AWS로그인 방법을 참조하세요.

• Amazon 검증 권한 콘솔

AWS 명령줄 도구

AWS 명령줄 도구를 사용하여 시스템 명령줄에서 명령을 실행하여 검증된 권한 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. AWS 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS 두 개의 명령줄 도구 세트, 즉 AWS Command Line Interface(AWS CLI) 와 를 제공합니다 AWS Tools for Windows PowerShell. 설치 및 사용에 대한 자세한 내용은 사용 AWS Command Line Interface 설명서를 참조하십시오. AWS CLI PowerShellWindows용 도구 설치 및 사용에 대한 자세한 내용은 사용 AWS Tools for Windows PowerShell 설명서를 참조하십시오.

• 명령 참조의 검증된 권한 AWS CLI

• Amazon에서 확인한 권한 AWS Tools for Windows PowerShell

AWS SDK

AWS 다양한 프로그래밍 언어 및 플랫폼 (Java, Python, Ruby, .NET, iOS, Android 등) 의 라이브러리와 샘플 코드로 구성된 SDK (소프트웨어 개발 키트) 를 제공합니다. SDK를 사용하면 편리하게 Verified Permissions 및 AWS에 프로그래밍 방식으로 액세스할 수 있습니다. 예를 들어 SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 처리합니다.

자세한 내용을 알아보고 AWS SDK를 다운로드하려면 도구를 참조하십시오. Amazon Web Services

다음은 다양한 AWS SDK의 검증된 권한 리소스 설명서 링크입니다.

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto)

• AWS SDK for Ruby

AWS CDK 구문

코드로 클라우드 인프라를 정의하고 이를 통해 프로비저닝하기 위한 오픈 소스 소프트웨어 개발 AWS Cloud Development Kit (AWS CDK) 프레임워크입니다. AWS CloudFormation구성 또는 재사용 가능한 클라우드 구성 요소를 사용하여 템플릿을 만들 수 있습니다. AWS CloudFormation 그런 다음 이러한 템플릿을 사용하여 클라우드 인프라를 배포할 수 있습니다.

자세히 알아보고 AWS CDK를 다운로드하려면 AWS Cloud Development Kit를 참조하십시오.

다음은 구문과 같은 검증된 권한 AWS CDK 리소스에 대한 설명서로 연결되는 링크입니다.

• 아마존 검증 권한 L2 CDK 구조

Verified Permissions API

서비스에 직접 HTTPS 요청을 발행할 수 있는 검증된 권한 API를 사용하여 AWS 프로그래밍 방식으로 검증된 권한에 액세스할 수 있습니다. API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다.

• Amazon 검증 권한 API 참조 가이드

Verified Permissions 요금

Verified Permissions는 애플리케이션이 Verified Permissions에 요청한 월별 권한 부여 요청 수를 기준으로 단계별 요금을 제공합니다. 또한 애플리케이션이 Verified Permissions에 요청한 cURL(클라이언트 URL) 정책 API 요청의 월별 양에 따라 정책 관리 작업에 대한 요금도 부과됩니다.

Verified Permissions의 요금 및 가격을 안내하는 전체 목록은 Amazon Verified Permissions 요금을 참조하세요.

청구 요금은 AWS Billing and Cost Management 콘솔의 청구 및 비용 관리 대시보드에서 확인할 수 있습니다. 청구서에는 요금 내역을 자세하게 확인할 수 있는 사용 보고서 링크가 포함됩니다. AWS 계정 청구에 대한 자세한 내용은 AWS Billing 사용 설명서를 참조하십시오.

AWS 청구, 계정, 이벤트에 관한 질문이 있는 경우 문의하세요 AWS Support.