Amazon 驗證許可條款和概念

您應該了解以下概念才能使用 Amazon 驗證許可。

已驗證權限概念

• 授權模式
• 授權請求
• 授權回應
• 考慮政策
• 上下文資料
• 決定原則
• 實體資料
• 權限、授權和主體
• 政策執行
• 政策存放區
• 滿意政策
• 驗證權限與雪松之間的差異

雪松政策語言概念

• 授權

• 實體

• 群組與階層

• 命名空間

• 政策

• 政策範本

• 結構描述

授權模式

授權模型描述了應用程序提出的授權請求的範圍以及評估這些請求的基礎。它是根據不同類型的資源、對這些資源所採取的動作，以及採取這些動作的類型主參與者來定義。它也會考慮採取這些動作的前後關聯。

以角色為基礎的存取控制 (RBAC) 是一種評估基礎，在此基礎中定義角色並與一組權限相關聯。然後可以將這些角色指派給一或多個身分識別。指派的身分會取得與角色相關聯的權限。如果修改與角色相關聯的權限，則修改會自動影響已指派角色的任何身分識別。Cedar 可以通過使用主要組來支持 RBAC 決定。

以屬性為基礎的存取控制 (ABAC) 是評估基礎，其中與識別相關聯的權限是由該識別的屬性決定。Cedar 可以透過使用參照主體屬性的原則條件來支援 ABAC 決策。

Cedar 原則語言允許為具有屬性型條件的使用者群組定義權限，藉此在單一原則中啟用 RBAC 和 ABAC 的組合。

授權請求

授權要求是應用程式提出的「已驗證權限」要求，用來評估一組原則，以判斷主參與者是否可以針對特定前後關聯的資源執行動作。

授權回應

授權響應是對授權請求的響應。其中包括允許或拒絕決定，以及其他資訊，例如決定原則的 ID。

考慮政策

考慮的原則是評估授權要求時，由「已驗證的權限」選取以包含的完整原則集。

上下文資料

上下文數據是提供要評估的其他信息的屬性值。

決定原則

決定原則是決定授權回應的原則。例如，如果有兩個符合的原則，其中一個是拒絕，另一個是允許，則拒絕原則將是決定原則。如果有多個滿意的許可政策和沒有滿意的禁止政策，則有多個決定政策。如果沒有任何原則相符且回應為拒絕，則沒有決定原則。

實體資料

實體資料是有關主參與者、動作和資源的資料。與原則評估相關的實體資料是群組成員資格，其實體階層以及主參與者和資源的屬性值。

權限、授權和主體

已驗證的權限會在您建置的自訂應用程式中管理細微的權限和授權。

主體是指應用程式 (人工或機器) 的使用者，該應用程式具有繫結至識別碼 (例如使用者名稱或機器 ID) 的識別碼。驗證程序會決定主體是否真正是他們宣稱的身分。

與該識別相關聯的是一組應用程式權限，可決定該主體可在該應用程式內執行的動作。授權是評估這些權限的程序，以判斷主體是否允許在應用程式中執行特定動作。這些權限可以表示為策略。

政策執行

原則強制執行是在「已驗證權限」之外的應用程式內強制執行評估決策的程序。如果「已驗證權限」評估傳回拒絕，則強制執行會確保主參與者無法存取資源。

政策存放區

原則存放區是原則和範本的容器。每個存放區都包含一個結構描述，用於驗證新增至儲存區的原則。依預設，每個應用程式都有自己的原則存放區，但是多個應用程式可以共用單一原則存放區。當應用程式提出授權要求時，會識別用來評估該要求的原則存放區。原則存放區提供隔離一組原則的方法，因此可在多租用戶應用程式中使用，以包含每個承租人的結構描述和原則。單一應用程式可以為每個租用戶設定個別的原則存放區。

評估授權要求時，已驗證的權限只會考慮原則存放區中與要求相關的原則子集。相關性是根據政策範圍決定的。範圍會識別套用原則的特定主參與者和資源，以及主參與者可對資源執行的動作。定義範圍可藉由縮小一組考慮的原則來協助改善效能。

滿意政策

滿意的原則是符合授權要求參數的原則。