DevOps、監控、記錄和擷取 PDP 的資料

在此提議的授權範例中，政策會集中在授權服務中。此集中化是刻意的，因為本指南中討論之設計模型的其中一個目標是實現政策解耦，或從應用程式的其他元件移除授權邏輯。Amazon Verified Permissions 和 Open Policy Agent (OPA) 都提供在需要變更授權邏輯時更新政策的機制。

對於已驗證許可，軟體 AWS 開發套件會提供以程式設計方式更新政策的機制 （請參閱 Amazon Verified Permissions API 參考指南)。您可以使用 SDK 隨需推送新政策。此外，由於 Verified Permissions 是受管服務，因此您不需要管理、設定或維護控制平面或代理程式來執行更新。不過，我們建議您使用持續整合和持續部署 (CI/CD) 管道，以使用 AWS SDK 管理 Verified Permissions 政策存放區和政策更新的部署。

已驗證的許可可讓您輕鬆存取可觀測性功能。其可設定為記錄 Amazon CloudWatch 日誌群組 AWS CloudTrail、Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon Data Firehose 交付串流的所有存取嘗試，以便快速回應安全事件和稽核請求。此外，您可以透過 監控 Verified Permissions 服務的運作狀態 AWS Health Dashboard。由於 Verified Permissions 是受管服務，其運作狀態由 維護 AWS，因此您可以使用其他 AWS 受管服務來設定可觀測性功能。

在 OPA 中，REST APIs提供以程式設計方式更新政策的方法。您可以設定 APIs，從已建立的位置提取新版本的政策套件，或隨需推送政策。此外，OPA 提供基本的探索服務，其中新代理程式可以動態設定，並由分佈探索套件的控制平面集中管理。(OPA 的控制平面必須由 OPA 運算子設定。) 我們建議您建立強大的 CI/CD 管道，以用於版本控制、驗證和更新政策，無論政策引擎是驗證許可、OPA 或其他解決方案。

對於 OPA，控制平面也提供監控和稽核的選項。您可以將包含 OPA 授權決策的日誌匯出至遠端 HTTP 伺服器，以進行日誌彙總。這些決策日誌對於稽核而言非常寶貴。

如果您正在考慮採用授權模型，其中存取控制決策會與您的應用程式分離，請確定您的授權服務具有有效的監控、記錄和 CI/CD 管理功能，以加入新的 PDPs或更新政策。

主題

• 在 Amazon Verified Permissions 中擷取 PDP 的外部資料

• 在 OPA 中擷取 PDP 的外部資料

• 資料租戶隔離和隱私權的建議