Verified Access 的運作方式

AWS Verified Access 會評估來自使用者的每個應用程式請求，並允許根據下列項目進行存取：

• 您所選的信任提供者 （來自 或第三方） 傳送 AWS 的信任資料。

• 存取您在 Verified Access 中建立的政策。

當使用者嘗試存取應用程式時，Verified Access 會從信任提供者取得其資料，並根據您為應用程式設定的政策進行評估。只有在使用者符合您指定的安全需求時，驗證存取才會授予對所請求應用程式的存取權。根據預設，所有應用程式請求都會遭到拒絕，直到政策定義為止。

此外，驗證存取會記錄每次存取嘗試，以協助您快速回應安全事件和稽核請求。

Verified Access 的關鍵元件

下圖提供 Verified Access 的高階概觀。使用者傳送存取應用程式的請求。Verified Access 會根據群組的存取政策以及任何應用程式特定的端點政策來評估請求。如果允許存取，請求會透過端點傳送至應用程式。

• 已驗證存取執行個體 – 執行個體只會在符合您的安全需求時評估應用程式請求並授予存取權。

• 已驗證的存取端點 – 每個端點代表應用程式。在上圖中，應用程式託管在做為負載平衡器目標的 EC2 執行個體上。

• Verified Access 群組 – Verified Access 端點的集合。我們建議您將具有類似安全需求的應用程式的端點分組，以簡化政策管理。例如，您可以將所有銷售應用程式的端點分組在一起。

• 存取政策 – 一組使用者定義的規則，可決定是否允許或拒絕對應用程式的存取。您可以指定因素組合，包括使用者身分和裝置安全狀態。您可以為每個 Verified Access 群組建立群組存取政策，該政策由群組中的所有端點繼承。您可以選擇性地建立應用程式特定的政策，並將其連接到特定的端點。

• 信任提供者 – 管理使用者身分或裝置安全狀態的服務。Verified Access 可與 AWS 和第三方信任提供者搭配使用。您必須至少將一個信任提供者連接至每個 Verified Access 執行個體。您可以將單一身分信任提供者和多個裝置信任提供者連接到每個 Verified Access 執行個體。

• 信任資料 – 信任提供者傳送給 Verified Access 之使用者或裝置的安全相關資料。也稱為使用者宣告或信任內容。例如，使用者的電子郵件地址或裝置的作業系統版本。已驗證存取在收到存取應用程式的每個請求時，會根據您的存取政策來評估此資料。