As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
DevOps, monitorando, registrando e recuperando dados para uma PDP
Nesse paradigma de autorização proposto, as políticas são centralizadas no serviço de autorização. Essa centralização é deliberada porque um dos objetivos dos modelos de design discutidos neste guia é conseguir a dissociação de políticas ou a remoção da lógica de autorização de outros componentes do aplicativo. Tanto o Amazon Verified Permissions quanto o Open Policy Agent (OPA) fornecem mecanismos para atualizar políticas quando mudanças na lógica de autorização são necessárias.
No caso das permissões verificadas, mecanismos para atualização programática de políticas são oferecidos pelo AWS SDK (consulte o Guia de referência da API de permissões verificadas da Amazon). Usando o SDK, você pode promover novas políticas sob demanda. Além disso, como o Verified Permissions é um serviço gerenciado, você não precisa gerenciar, configurar ou manter planos de controle ou agentes para realizar atualizações. No entanto, recomendamos que você use um pipeline de integração contínua e implantação contínua (CI/CD) para administrar a implantação de repositórios de políticas de Permissões Verificadas e atualizações de políticas usando o SDK. AWS
As permissões verificadas fornecem acesso fácil aos recursos de observabilidade. Ele pode ser configurado para registrar todas as tentativas de acesso aos grupos de CloudWatch log da Amazon AWS CloudTrail, aos buckets do Amazon Simple Storage Service (Amazon S3) ou aos fluxos de entrega do Amazon Data Firehose para permitir uma resposta rápida a incidentes de segurança e solicitações de auditoria. Além disso, você pode monitorar a integridade do serviço de Permissões Verificadas por meio do AWS Health Dashboard. Como o Verified Permissions é um serviço gerenciado, sua integridade é mantida por AWS, e você pode configurar recursos de observabilidade usando outros serviços AWS gerenciados.
No caso do OPA, o REST APIs oferece maneiras de atualizar as políticas de forma programática. Você pode configurar o APIs para obter novas versões de pacotes de políticas de locais estabelecidos ou para enviar políticas sob demanda. Além disso, o OPA oferece um serviço básico de descoberta em que novos agentes podem ser configurados dinamicamente e gerenciados centralmente por um plano de controle que distribui pacotes de descoberta. (O plano de controle da OPA deve ser instalado e configurado pelo operador da OPA.) Recomendamos que você crie um pipeline robusto de CI/CD para controle de versão, verificação e atualização de políticas, independentemente de o mecanismo de políticas ser Permissões Verificadas, OPA ou outra solução.
Para o OPA, o plano de controle também oferece opções para monitoramento e auditoria. Você pode exportar os registros que contêm as decisões de autorização da OPA para servidores HTTP remotos para agregação de registros. Esses registros de decisão são inestimáveis para fins de auditoria.
Se você estiver pensando em adotar um modelo de autorização em que as decisões de controle de acesso sejam dissociadas do seu aplicativo, certifique-se de que seu serviço de autorização tenha recursos eficazes de monitoramento, registro e gerenciamento de CI/CD para integrar políticas novas ou atualizadas. PDPs
Tópicos
