在 Amazon 已验证权限中检索 PDP 的外部数据 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 已验证权限中检索 PDP 的外部数据

Amazon Verified Permissions 不支持检索 PDP 的外部数据,但它可以将用户提供的数据存储为其架构的一部分。与 OPA 一样,如果授权决策的所有数据都可以作为授权请求的一部分或作为请求的一部分传递的 JSON Web Token (JWT) 的一部分提供,则无需进行其他配置。但是,作为调用 “已验证权限” 的应用程序授权服务的一部分,您可以通过授权请求向已验证权限提供来自外部来源的额外数据。例如,应用程序的授权方服务可以向外部来源(例如 DynamoDB 或 Amazon RDS)查询数据,然后这些服务可以将外部提供的数据作为授权请求的一部分。

下图显示了如何检索其他数据并将其合并到已验证权限授权请求中的示例。可能需要使用此方法来检索 RBAC 角色映射之类的数据,检索与资源或委托人相关的其他属性,或者在数据位于应用程序的不同部分且无法通过身份提供者 (IdP) 令牌提供的情况下。

使用 Amazon 验证权限检索外部数据

申请流程:

  1. 应用程序接收到对 Amazon API Gateway 的 API 调用,并将该调用转发给 AWS Lambda 授权方。

  2. Lambda 授权机构调用 Amazon DynamoDB 来检索有关提出请求的委托人的其他数据。

  3. Lambda 授权方将其他数据合并到向已验证权限发出的授权请求中。

  4. Lambda 授权者向已验证的权限发出授权请求并收到授权决定。

该图表包括 Amazon API Gateway 的一项名为 Lambda 授权者的功能。尽管此功能可能不适用于其他服务或应用程序提供的 API,但您可以跨多个用例复制使用授权方提取其他数据以整合到已验证权限授权请求中的常规模型。