定义您的授权模型
全部打开凭借对 Cedar 的支持,您可以基于各种实体类型定义架构,包括与授权模型相关的属性,以及主体类型、资源类型与操作的有效组合。Verified Permissions 会通过架构验证静态策略或策略模板是否与应用程序的授权模型一致。您可以使用 JSON 在 Verified Permissions 中定义架构。它与 JSON 架构有些相似,但融入了 Cedar 策略语言的独特特性。您还可以在架构中定义操作组,即允许或禁止一组操作的策略。
通过 API 将您的应用程序连接到服务,授权用户访问请求。针对每一次授权请求,该服务都会获取相关策略,并对这些基于 Cedar 的策略进行评估,以结合用户、角色、群组成员身份、属性等上下文输入信息,确定是否允许用户对某一资源执行操作。
策略管理和验证
全部打开策略存储是 Verified Permissions 中基于 Cedar 的策略的容器,在逻辑上与其他容器隔离。您可以在单个策略存储中创建所有分层关系和配置,以将策略和策略模板与其他策略存储区分开。策略存储通常映射到每个应用程序,并允许您在多个租户之间创建不同的配置和架构规则,而无需在它们之间进行共享或连接。例如,您可以针对 Verified Permissions 应用程序的每个租户使用场景创建一个单独的策略存储;删除某一租户的策略存储时,不会影响其他策略存储中的资源、架构、策略和策略模板。
测试台是通过对策略存储中所有基于 Cedar 的策略发起模拟授权请求来测试和排查 Verified Permissions 策略问题的工具。测试台使用您指定的参数来确定策略存储中的策略是否会授权该请求。
您可以使用策略模板,这是一种基于 Cedar 的策略语句,其作用域中的占位符需要使用特定值填充。策略模板可以包含主体、资源,或两者的占位符。对策略模板的更新会同步反映到所有使用该模板的主体和资源中,这类策略也称为模板关联策略。
建议使用策略模板创建可在应用程序中共享的基于 Cedar 语言的策略。例如,您可以为“编辑者”角色创建策略模板,为使用该策略模板的主体和资源提供读取、编辑和评论权限。您还可以使用策略模板为应用程序定义粗粒度、中等粒度和细粒度的访问控制。例如,您可以使用策略模板将特定用户分配给某个组,使用中粒度控制来分配对特定资源的访问权限,并对资源中最精细的属性使用细粒度控制。
策略查询和审计
全部打开借助 Verified Permissions API,您可以对存储在 Verified Permissions 中的策略执行特定查询。您可以查询您的策略以确定哪些适用于特定主体、特定资源或两者。
您可以配置和连接 Verified Permissions,以将您的策略管理和授权日志发送到 Amazon CloudTrail。
集成和可扩展性
全部打开Verified Permissions 与 CloudFormation 集成,后者可帮助您建模和配置亚马逊云科技资源,以减少资源与基础设施的创建和管理时间。您可以创建一个描述所需的所有亚马逊云科技资源的模板,然后,CloudFormation 会为您预置和配置这些资源。
目前,Verified Permissions SDK 可使用 C++、Go、Java、JavaScript、Kotlin、.NET、Node.js、PHP、Python、Ruby、Rust 和 Swift 等语言。
与策略执行点集成
全部打开使开发人员能够通过 Amazon API Gateway,使用可简化基于角色的访问控制(RBAC)实施的快速入门向导来保障 API 的安全。
使 Express Web 应用开发人员只需在现有应用中添加少量代码,即可通过 Amazon Verified Permissions 快速实现 API 级别的授权功能。