跳至主要内容

Amazon Verified Permissions

Amazon Verified Permissions 常见问题

页面主题

一般性问题

全部打开

Verified Permissions 可帮助您在构建和部署的应用程序(如人力资源系统、银行应用程序)内,对资源实施并执行细粒度授权。借助 Verified Permissions,您可执行以下任务:

  1. 定义基于策略的访问模型,描述应用程序管理的资源,以及用户可对这些资源执行的操作(如查看、更新、共享)。
  2. 为应用程序用户提供管理这些资源访问权限的能力。应用程序会为专业人员创建查看和更新记录的权限,并将该权限存储在 Verified Permissions 中。
  3. 强制执行这些权限。

将 Verified Permissions 与您的身份提供商(如 Amazon Cognito)结合使用,可为应用程序打造更加动态、基于策略的访问管理解决方案。您可以构建支持最终用户共享信息、协同工作,同时保障数据的安全性、机密性和隐私性的应用程序。Verified Permissions 能帮助您更快地构建应用程序。它还为您提供细粒度授权系统,根据您的身份和资源的角色和属性强制执行访问权限,从而帮助降低运营成本。您可定义自己的策略模型,在集中位置创建并存储策略,并在毫秒级时间内评估访问请求。作为策略引擎,Verified Permissions 能帮助应用程序根据零信任要求,实时验证用户操作。此外,它还会突出显示权限过高且无效的权限。Verified Permissions 支持治理与合规性。它提供审计工具,用于配置、维护和分析多个不同应用程序的权限,以帮助解答“谁有权访问哪些资源”等问题。

在亚马逊云科技管理控制台中,访问安全、身份和合规性下的 Amazon Verified Permissions。使用向导来简化第一个应用程序的设置,该向导会引导您完成应用程序权限模型定义和权限创建的流程。然后,您可以通过服务 API 或控制台评估访问请求。

Verified Permissions 与 Amazon Cognito 及其他身份提供商结合使用时,可为消费类应用程序提供动态访问管理解决方案。应用程序开发人员可借助 Amazon Cognito 管理用户身份,并在用户登录时完成身份验证。随后,Verified Permissions 可以确定已通过身份验证的用户可访问哪些应用程序资源。对于员工应用程序,您也可将该服务与 IAM Identity Center 配合使用。

零信任架构要求将用户访问权限限制在“最低权限”范围内,因此您的应用程序需要细粒度授权。基于策略的中央授权系统为开发人员提供了一种一致的方式来定义和管理应用程序间的精细授权,无需更改代码即可简化权限规则的更改,并通过将权限移出代码来提高权限的可见性。

您可创建基于策略的访问模型,描述应用程序管理的资源以及可对这些资源执行的操作。这些资源可以包含非人类身份,如设备或系统进程。您可以通过控制台、API 或命令行界面创建该模型。

可以。Verified Permissions 可与 Okta、Ping Identity、CyberArk 等提供商的身份系统配合使用。

您可以通过 Cedar 策略语言定义权限。Cedar 策略是 permitforbid 语句,用于判断用户是否可对资源执行操作。策略与资源相关联,一个资源可附加多个策略。其中,Forbid 策略优先级高于 permit 策略。这能帮助您在应用程序内建立护栏,无论存在何种 permit 策略,均能阻止访问。

Cedar 是一种灵活、可扩展且可扩缩的基于策略的访问控制语言,可帮助开发人员将应用程序权限表示为策略。管理员和开发人员可通过定义策略,允许或禁止用户对应用程序资源执行操作。可以为单个资源附加多个策略。当应用程序用户尝试对某资源执行操作时,应用程序会向 Cedar 策略引擎发送授权请求。Cedar 会评估适用的策略,并返回 ALLOW 或 DENY 的决策。Cedar 支持针对任何类型的主体和资源的授权规则,可实现基于角色和基于属性的访问控制,并支持通过自动化推理工具进行策略分析。

当应用程序用户尝试对某个资源执行操作时,应用程序可以通过授权请求调用 Verified Permissions API。Verified Permissions 会根据相关策略检查该请求,并基于评估结果返回 ALLOW 或 DENY 的决策。应用程序可根据此结果,让用户执行操作或阻止操作。

在应用程序中使用 Verified Permissions API,以创建策略、更新策略、将策略附加到资源,以及授权用户访问请求。当用户尝试对资源执行操作时,您的应用程序会构造一个请求。该请求包含有关用户、操作和资源的信息,并将其传递给 Verified Permissions。该服务会评估请求并返回 ALLOW 或 DENY 的决策。然后,应用程序需负责执行该决策。

Verified Permissions 会根据权限模型验证您创建的策略,并拒绝任何无效的策略。例如,如果策略中描述的操作对该资源类型无效,则您的应用程序将无法创建该策略。Verified Permissions 可帮助您验证策略的完整性和正确性。该服务还可以帮助您识别相互矛盾的策略、任何用户都无权访问的资源或访问权限过高的用户。该服务采用一种名为自动化推理的数学分析方法,可跨多个应用程序分析数百万条策略。

Verified Permissions 可以帮助您确定“谁有权访问哪些资源”以及“谁可以查看和修改权限”,确保只有授权用户可以修改应用程序权限,且所有变更均会被完整审计。审计人员可以查看“谁进行了变更”以及“变更发生的时间”。

不能。必须使用 Cedar 策略语言编写策略。Cedar 旨在支持客户应用程序资源的权限管理,而 IAM 策略语言则演变为支持亚马逊云科技资源的访问控制。