使用自定义策略引擎 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义策略引擎

实现 PDP 的另一种方法是创建自定义策略引擎。此策略引擎的目标是将授权逻辑与应用程序分离。自定义策略引擎负责做出授权决策,类似于已验证权限或 OPA,以实现策略解钩。此解决方案与使用已验证权限或 OPA 之间的主要区别在于,编写和评估策略的逻辑是为自定义策略引擎定制的。与引擎的任何交互都必须通过 API 或其他方法公开,以便授权决策能够到达应用程序。您可以使用任何编程语言编写自定义策略引擎,也可以使用其他机制进行策略评估,例如通用表达式语言 (CEL)