DevOps、监控、记录和检索 PDP 的数据

在这个提议的授权模式中，策略集中在授权服务中。这种集中化是经过深思熟虑的，因为本指南中讨论的设计模型的目标之一是实现策略脱钩，或者从应用程序中的其他组件中删除授权逻辑。Amazon Verified Permissions 和开放政策代理 (OPA) 都提供了在需要更改授权逻辑时更新策略的机制。

对于已验证权限， AWS 软件开发工具包提供了以编程方式更新策略的机制（参见 Amazon 已验证权限 API 参考指南）。使用 SDK，您可以按需推送新政策。此外，由于 Verified Permissions 是一项托管服务，因此您无需管理、配置或维护控制平面或代理即可执行更新。但是，我们建议您使用持续集成和持续部署 (CI/CD) 管道来管理使用软件开发工具包的已验证权限策略存储的部署和策略更新。 AWS

通过验证的权限，可以轻松访问可观察性功能。可以将其配置为记录对亚马逊 CloudWatch 日志组 AWS CloudTrail、Amazon Simple Storage Service (Amazon S3) 存储桶或 Amazon Data Firehose 传输流的所有访问尝试，从而能够快速响应安全事件和审计请求。此外，您可以通过监控已验证权限服务的运行状况 AWS Health Dashboard。由于 Verified Permissions 是一项托管服务 AWS，因此其运行状况由维护，您可以使用其他 AWS 托管服务来配置可观察性功能。

对于 OPA，REST APIs 提供了以编程方式更新政策的方法。您可以将配置 APIs 为从既定位置提取新版本的策略包或按需推送策略。此外，OPA 还提供基本的发现服务，通过该服务，可以动态配置新代理，并由分发发现包的控制平面进行集中管理。（OPA 的控制平面必须由 OPA 操作员设置和配置。） 无论策略引擎是已验证权限、OPA 还是其他解决方案，我们都建议您创建强大的 CI/CD 管道来进行版本控制、验证和更新策略。

对于 OPA，控制平面还提供监控和审计选项。您可以将包含 OPA 授权决策的日志导出到远程 HTTP 服务器以进行日志聚合。这些决策日志对于审计非常有用。

如果您正在考虑采用一种将访问控制决策与应用程序分开的授权模型，请确保您的授权服务具有有效的监控、日志记录和 CI/CD 管理功能，以便加入新 PDPs 策略或更新策略。

主题

• 在 Amazon 已验证权限中检索 PDP 的外部数据

• 在 OPA 中检索 PDP 的外部数据

• 关于租户隔离和数据隐私的建议