Recomendações para isolamento de inquilinos e privacidade de dados

A seção anterior forneceu várias abordagens para o uso de dados externos com OPA e Amazon Verified Permissions para auxiliar na tomada de decisões de autorização. Sempre que possível, recomendamos que você use a abordagem de entrada de sobrecarga para passar dados de contexto SaaS para o OPA para tomar decisões de autorização em vez de armazenar dados na memória do OPA. Esse caso de uso não se aplica a AWS Cloud Map, porque não oferece suporte ao armazenamento de dados externos no serviço.

Nos modelos híbridos de controle de acesso baseado em função (RBAC) ou RBAC e controle de acesso baseado em atributos (ABAC), os dados fornecidos somente por uma solicitação ou consulta de autorização podem ser insuficientes, pois as funções e permissões precisam ser referenciadas para tomar decisões de autorização. Para manter o isolamento do inquilino e a privacidade do mapeamento de funções, esses dados não devem residir na OPA. Os dados do RBAC devem residir em uma fonte de dados externa, como um banco de dados, ou devem ser passados como parte das declarações de um IdP em um JWT. Nas Permissões verificadas, os dados do RBAC podem ser mantidos como parte das políticas e do esquema no modelo de armazenamento de políticas por inquilino, porque cada inquilino tem seu próprio armazenamento de políticas separado logicamente. No entanto, em um modelo de armazenamento de políticas compartilhado para vários locatários, os dados de mapeamento de funções não devem residir nas Permissões Verificadas para manter o isolamento do inquilino.

Além disso, a OPA e as Permissões Verificadas não devem ser usadas para mapear funções predefinidas para permissões específicas, pois isso dificulta que os inquilinos definam suas próprias funções e permissões. Isso também torna sua lógica de autorização rígida e precisa de atualização constante. A exceção a essa diretriz é o modelo de armazenamento de políticas por inquilino em Permissões verificadas, porque esse modelo permite que cada inquilino tenha suas próprias políticas que podem ser avaliadas de forma independente por inquilino.

Amazon Verified Permissions

O único lugar em que as Permissões Verificadas podem armazenar dados RBAC potencialmente privados é no esquema. Isso é aceitável no modelo de armazenamento de políticas por inquilino, porque cada inquilino tem seu próprio repositório de políticas separado logicamente. No entanto, isso pode comprometer o isolamento de inquilinos em um modelo compartilhado de armazenamento de políticas multilocatário. Nos casos em que esses dados são necessários para tomar uma decisão de autorização, eles devem ser recuperados de uma fonte externa, como o DynamoDB ou o Amazon RDS, e incorporados à solicitação de autorização de permissões verificadas.

OPA

As abordagens seguras com OPA para manter a privacidade e o isolamento dos inquilinos dos dados do RBAC incluem o uso de recuperação ou replicação dinâmica de dados para obter dados externos. Isso ocorre porque você pode usar o serviço de autorização ilustrado no diagrama anterior para fornecer somente dados externos específicos do inquilino ou do usuário para tomar uma decisão de autorização. Por exemplo, você pode usar um replicador para fornecer dados RBAC ou uma matriz de permissões para o cache OPA quando um usuário faz login e fazer com que os dados sejam referenciados com base em um usuário fornecido nos dados de entrada. Você pode usar uma abordagem semelhante com dados extraídos dinamicamente para recuperar somente os dados relevantes para tomar decisões de autorização. Além disso, na abordagem dinâmica de recuperação de dados, esses dados não precisam ser armazenados em cache no OPA. A abordagem de agrupamento não é tão eficaz quanto a abordagem de recuperação dinâmica para manter o isolamento do inquilino, porque ela atualiza tudo no cache do OPA e não pode processar atualizações precisas. O modelo de agrupamento ainda é uma boa abordagem para atualizar políticas de OPA e dados não RBAC.