- 首页›
- 产品
Amazon Verified Permissions
Verified Permissions 简介
Amazon Verified Permissions 是一项完全托管的授权服务,采用 Cedar 策略语言,可帮助您构建更安全的应用程序。借助 Verified Permissions,开发人员可以通过将授权逻辑外置并集中管理策略来加快应用开发速度,同时还能让应用程序内的授权机制与零信任原则保持一致。安全与审计团队则可以更高效地分析和审计应用程序内“谁有权访问哪些资源”。
优势
通过将授权与业务逻辑分离,加快应用程序开发速度。
通过实施符合现代开发工作流程的直观、基于策略的访问控制,简化应用程序安全性。凭借对 Express 等常用开发框架的支持,开发人员可以在几分钟内为其应用程序实现精细授权,从而有更多时间专注于构建功能。
保护应用程序资源并按照最低权限原则管理用户访问权限。
使用自动分析来确认以 Cedar 编写的权限是否按预期运行,从而大规模简化合规审计。
构建符合零信任原则的应用程序,实现持续、实时的授权决策。
使用案例
使用模板创建策略,并在 Amazon API Gateway 和 Amazon AppSync 中强制执行这些控制措施。
管理员可以创建以 Cedar 编写的应用程序范围的策略,开发人员则可以授予用户访问数据和资源的权限。
查看 Cedar 策略模型变更并使用 Verified Permissions 监控授权请求。
客户评价
TELUS
TELUS Communications 是加拿大一家全国性电信企业,提供包括互联网接入、语音、娱乐、视频及安全防护在内的广泛电信产品和服务。TELUS 正开发一套智慧生活解决方案,该解决方案将利用最新的云技术打造跨互联设备的自动化体验。该公司正使用 Amazon Verified Permissions 来控制对摄像头、门锁等智能家居设备的访问权限。例如,用户可定义权限,允许其邻居操控户外灯光的开关,但不能解锁大门。
“如果我们不使用 Amazon Verified Permissions 来实施权限管理,而是为家庭自动化的各类使用场景自行开发一套授权引擎,根本无法在同等时间内让这套引擎稳定可用且通过测试。”
TELUS 杰出工程师 Edwin Voskamp
Grosvenor Engineering Group
Grosvenor Engineering Group 负责管理澳大利亚和新西兰地区 4.5 万栋建筑内总价值达 15 亿澳元的资产组合,如暖通空调(HVAC)、消防控制系统和电力系统。为了确保运营效率和安全性,该公司意识到需要一套功能强大的授权系统来对建筑内资产的访问权限进行管理。
其中一项关键需求是实现精细化访问控制,使技术人员仅能获得特定建筑或建筑内特定资产的访问权限。这种方式通过将访问权限限定在授权人员与授权资产范围内来提升安全性,从而降低潜在风险。最终,该公司选择使用 Amazon Verified Permissions 作为授权系统,因为该服务提高了其安全状况,提供了灵活性,并且具有可扩展性。
“通过 Cedar 和 Amazon Verified Permissions 应对我们的使用场景需求帮助我们实现了高性能,并提供让我们的应用程序长期受益的灵活性和扩展性。由于 AVP 采用按使用量计费的定价模式,因此我们的转换成本也很低。”
Grosvenor Engineering Group 首席技术官 Con Tsalikis
STEDI
Stedi 是一个医疗保健票据交换所及电子数据交换(EDI)平台,致力于帮助医疗科技企业及行业资深从业者处理任务关键型交易,例如医疗保健保险理赔、资格审核等。Stedi 采用 Amazon API Gateway 来保护其交易处理端点的访问安全。API Gateway 会调用 Amazon Verified Permissions 来评估以 Cedar 语言编写的授权策略。这些策略将决定允许特定用户访问哪些 API 端点。
“Stedi 借助 Amazon Verified Permissions,在紧迫的时间周期内构建了精细的 RBAC。通过批量处理授权请求并缓存决策结果,我们得以每月经济高效地处理高达 7 亿次请求,同时保持低延迟。”
Stedi 创始人兼首席执行官 Zack Kanter
Twilio
Twilio 是一家通信平台即服务公司,为开发者提供工具,帮助其跨语音、短信、聊天、视频和电子邮件等渠道在应用程序中集成通信工作流程。Twilio Flex 是该公司推出的一款数字互动产品,能帮助公司管理客户生命周期(从销售到售后支持)中的客户互动。例如,可以将 Flex 部署为呼叫中心,客户可以通过聊天、语音、电子邮件、短信等多种渠道发起请求,系统会将他们分配给具备处理其请求的适当技能的座席。自 2019 年推出以来,Twilio Flex 不断发展壮大,其团队需要需要实施超越其原有基础资源权限模型的复杂授权机制来处理更复杂的访问控制需求。在评估多种授权方案后,他们最终选择实施 Amazon Verified Permissions 来满足其精细化权限需求,同时保持高可用性。
“随着 Twilio Flex 的发展,我们需要一套能与我们同步成长的授权系统。对于粗粒度访问权限,我们采用令牌,根据角色授予对特定 API 集的访问权限。然后,我们采用 Amazon Verified Permissions 来管理更精细的权限,这些权限以 Cedar 策略的方式呈现,可确定用户可通过这些 API 访问哪些数据。通过使用 Cedar 语言,我们能够将授权逻辑外置,从而简化代码库并改善安全状况。Cedar 的表达能力也使我们能够编写满足客户独特需求的策略。AVP 的架构使我们能够将权限审计的集中控制与兼顾性能与可靠性的分布式决策相结合。”
Twilio 首席工程师 Peter Lavelle
FIS
FIS 是金融服务技术领域的全球领导者,每年处理的支付交易规模达 50 万亿美元,其行业领先的 FIS 保险风险套件 Prophet 解决方案为全球前 50 家保险公司中的 80% 提供服务。FIS Prophet 团队拥有覆盖 80 个国家/地区的 1 万名用户,他们意识到需要一套强大的权限管理框架,以满足萨班斯-奥克斯利法案等法规的合规要求,同时为精算师、模型审批人员及审计人员提供精细化的访问控制。
为此,FIS 使用 Amazon Verified Permissions(AVP),为 Prophet 构建了全面的权限管理框架。该权限框架支持精细的访问控制,将基于角色的权限和基于属性的权限相结合,以增强安全性并实现合规性。
“借助 Amazon Verified Permissions(AVP)和 Cedar 策略语言,我们可以在外部定义权限并在一个位置集中管理所有策略。AVP 通过记录每一项操作(包括操作人员、操作时间)提供清晰的审计跟踪记录功能,并安全存储所有记录,以便随时进行审查。”
FIS 软件工程师 Ana Kosutic
