什麼是 Amazon 驗證許可？

Amazon 驗證許可是可擴展、精細的許可管理和授權服務，適用於您建置的自訂應用程式。驗證權限可讓您的開發人員透過外部化授權並集中原則管理和管理，以更快速地建置安全的應用程式。已驗證的權限會使用 Cedar 原則語言，為應用程式使用者定義精細的權限。

已驗證權限中的授權

「已驗證權限」可透過驗證主參與者是否允許對自訂應用程式中指定前後關聯中的資源執行動作，以提供授權。已驗證的許可假設主體先前已透過其他方式 (例如使用 OpenID Connect、託管提供者 (例如 Amazon Cognito) 或其他身份驗證解決方案的通訊協定進行識別和驗證。「已驗證的權限」與管理使用者的位置以及驗證使用者的方式無關。

已驗證的權限是一項服務，可讓客戶在中建立、維護和測試政策 AWS Management Console。使用 Cedar 原則語言來表示權限。用戶端應用程式會呼叫授權，APIs以評估隨服務一起儲存的 Cedar 原則，並針對是否允許動作提供存取決策。

雪松政策語言

已驗證權限中的授權原則是使用 Cedar 原則語言撰寫。Cedar 是一種開源語言，用於編寫授權政策並根據這些政策做出授權決策。當您建立應用程式時，您需要確保只有授權的使用者才能存取應用程式，而且只能執行每個使用者授權執行的動作。使用 Cedar，您可以將業務邏輯與授權邏輯分離。在應用程式的程式碼中，您可以透過呼叫 Cedar 授權引擎來對作業發出的要求，詢問「此要求是否已授權？」。然後，如果決定為「允許」，則應用程序可以執行請求的操作，或者如果決定為「拒絕」，則返回錯誤消息。

驗證的權限目前使用雪松版本 2.4。

如需 Cedar 的詳細資訊，請參閱下列內容：

• 雪松政策語言參考指南

• 雪松 GitHub儲存庫

已驗證權限的好處

加速應用程式開

透過將授權與業務邏輯解耦，加速應用程式開發。

更安全的應用

驗證權限可讓開發人員建置更安全的應用程式。

使用者功能

已驗證的權限可讓您提供更豐富的使用者功能以進行權限管理

相關服務

• Amazon Cognito — Amazon Cognito 是一個適用於網絡和移動應用程序的身份平台。它是用戶目錄，身份驗證服務器以及 OAuth 2.0 訪問令牌和 AWS 憑據的授權服務。建立政策存放區時，您可以選擇從 Amazon Cognito 使用者集區建立主體和群組。如需詳細資訊，請參閱 Amazon Cognito 開發人員指南。

• Amazon API 閘道 — Amazon API Gateway 是一種 AWS 用於建立、發佈、維護、監控和保護REST任何規模 WebSocket APIs的服務。HTTP建立政策存放區時，您可以選擇從API閘道API中建立動作和資源。如需API閘道的詳細資訊，請參閱API閘道開發人員指南。

• AWS IAM Identity Center— 透過IAM身分識別中心，您可以管理員工身分識別的登入安全性，也稱為勞動力使用者。IAMIdentity Center 提供一個位置，您可以在其中建立或連結員工使用者，並集中管理他們所有 AWS 帳戶 與應用程式的存取權限。如需詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》https://docs.aws.amazon.com/singlesignon/latest/userguide/。

存取已驗證權限

您可以使用下列任何一種方式使用 Amazon 驗證許可。

AWS Management Console

控制台是一個基於瀏覽器的界面，用於管理已驗證的權限和 AWS 資源。如需有關透過主控台存取已驗證權限的詳細資訊，請參閱AWS 登入 使用者指南 AWS中的如何登入。

• Amazon 驗證許可控制

AWS 命令行工具

您可以使用命 AWS 令列工具在系統的命令列中發出指令，以執行已驗證的權限和工 AWS 作。使用命令列可以比主控台更快，也更便利。若您想要建構執行 AWS 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組指令行工具：AWS Command Line Interface(AWS CLI) 和 AWS Tools for Windows PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI，請參閱《使AWS Command Line Interface 用指南》。若要取得有關安裝和使用 Windows 工具的資訊 PowerShell，請參閱使用AWS Tools for Windows PowerShell 者指南。

• 指令參考中已驗證的權限 AWS CLI

• Amazon 驗證許可 AWS Tools for Windows PowerShell

AWS SDKs

AWS 提供 SDKs (軟體開發套件)，其中包含各種程式設計語言和平台 (Java、Python、Ruby、. NET, iOS 版, 安卓系統, 等等). SDKs提供了一種方便的方式來創建對已驗證權限和 AWS. 例如，負SDKs責密碼編譯簽署要求、管理錯誤，以及自動重試要求等工作。

若要深入了解並下載 AWS SDKs，請參閱 Amazon Web Services.

以下是各種「已驗證權限」資源的文件連結 AWS SDKs。

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto)

• AWS SDK for Ruby

AWS CDK構造

這 AWS Cloud Development Kit (AWS CDK) 是一個開放原始碼軟體開發架構，用於在程式碼中定義雲端基礎架構，並透過 AWS CloudFormation. 可以使用構造或可重複使用的雲組件來創建 AWS CloudFormation 模板。然後，您可以使用這些範本來部署您的雲端基礎架構。

若要深入了解並下載 AWS CDKs，請參閱 AWS Cloud Development Kit。

以下是「已驗證權限」 AWS CDK 資源 (例如建構) 的文件連結。

• Amazon 驗證許可 L2 構CDK造

已驗證權限 API

您可以存取「已驗證的權限」，並以 AWS 程式設計方式使用「已驗證的權限」API，這可讓您直接向服務發出HTTPS要求。使用時API，您必須包含程式碼，才能使用您的認證進行數位簽署要求。

• Amazon 驗證許可API參考指南

已驗證權限的定價

「已驗證權限」會根據您的應用程式每月向「已驗證權限」發出的授權要求量，提供分層定價。政策管理動作的定價是根據您的應用程式每月向「已驗證權限」發出的 c URL (用戶端URL) 原則API要求量而定。

如需已驗證許可的完整費用和價格清單，請參閱 Amazon 驗證許可定價。

若要查看您的帳單，請前往 AWS Billing and Cost Management 主控台中的帳單與成本管理儀表板。您的帳單內含用量報告的連結，可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單，請參閱使AWS Billing 用者指南。

如果您對帳 AWS 單、帳戶和活動有任何疑問，請聯絡 AWS Support。