Recursos do Amazon Verified Permissions
Definir o modelo de autorização
Esquema
Com suporte para a linguagem Cedar, é possível definir o esquema em termos de cada tipo de entidade, incluindo atributos relevantes para o modelo de autorização e as combinações válidas de tipos de entidades principais, tipos de recursos e ações. O Verified Permissions usa o esquema para validar se uma política estática ou um modelo de política é consistente com o modelo de autorização da aplicação. Você pode usar JSON para definir um esquema no Verified Permissions. Ele tem certa semelhança com o esquema JSON, mas usa aspectos exclusivos da linguagem de políticas Cedar. É possível definir grupos de ação em seu esquema, que são políticas que permitem ou proíbem grupos de ações.
Solicitações de autorização
Conecte sua aplicação ao serviço por meio da API para autorizar solicitações de acesso dos usuários. Para cada solicitação de autorização, o serviço recupera as políticas relevantes e avalia essas políticas baseadas na linguagem Cedar para determinar se um usuário tem permissão para executar uma ação em um recurso, tendo em conta as entradas de contexto, como usuários, perfis, associações de grupos e atributos.
Gerenciamento e validação de políticas
Armazenamento de políticas
Um armazenamento de políticas corresponde a um contêiner de políticas baseadas na linguagem Cedar no Verified Permissions que é logicamente isolado de outros contêineres. É possível criar todas as suas relações e configurações hierárquicas em um único armazenamento de políticas para diferenciar políticas e modelos de políticas de outros armazenamentos de políticas. Os armazenamentos de políticas geralmente são mapeados para cada aplicação e permitem criar configurações e regras de esquema diferentes entre vários locatários sem compartilhamento ou conexão entre eles. Por exemplo, você pode ter um armazenamento de políticas separado para cada uso de uma aplicação do Verified Permissions; é possível excluir o armazenamento de políticas de um locatário sem afetar recursos, esquemas, políticas e modelos de políticas de outro armazenamento de políticas.
Recurso de banco de testes
O banco de testes corresponde a uma ferramenta desenvolvida para testes e soluções de problemas de políticas do Verified Permissions ao executar uma solicitação de autorização simulada em todas as políticas baseadas na linguagem Cedar no armazenamento de políticas. O banco de testes usa os parâmetros especificados para determinar se as políticas de seu armazenamento de políticas autorizariam a solicitação.
Modelos de política
É possível usar um modelo de política, o que corresponde a uma declaração de política baseada na linguagem Cedar com espaços reservados no escopo que devem ser preenchidos com valores específicos. O modelo de política pode ter espaços reservados para a entidade principal, para o recurso ou ambos. As atualizações do modelo de política são aplicadas a todas as entidades principais e recursos que usam o modelo, também conhecido como política vinculada ao modelo.
Recomendamos o uso de modelos de política para criar políticas baseadas na linguagem Cedar que podem ser compartilhadas na aplicação. Por exemplo, você pode criar um modelo de política para um editor que forneça permissões de leitura, edição e comentário para a entidade principal e o recurso que usam o modelo de política. Você também pode usar modelos de política para definir controles de acesso de granulação grossa, média e refinada para suas aplicações. Por exemplo, você pode usar modelos de política para atribuir usuários específicos a um grupo, controles de detalhamento médio para atribuir acesso a recursos específicos e controles detalhados para os atributos mais granulares dos recursos.
Consulta e auditoria de políticas
Políticas de consulta
Usando as APIs do Verified Permissions, é possível executar consultas específicas nas políticas armazenadas no Verified Permissions. Você pode consultar suas políticas para determinar quais serão aplicadas a entidades principais específicas, a recursos específicos ou a ambos.
Auditoria e registro em log
Você pode configurar e conectar o Verified Permissions para enviar seus logs de autorização e gerenciamento de políticas ao AWS CloudTrail.
Integrações e extensibilidade
Integração com o Amazon Cognito
Você pode passar seu token de autenticação do Amazon Cognito para uma solicitação de autorização executada pelo Verified Permissions. Isso permite passar os atributos do provedor de identidade diretamente para uma avaliação de política e, portanto, para uma decisão de autorização gerada pelo Verified Permissions.
Integração com o AWS CloudFormation
O Verified Permissions é integrado ao CloudFormation, um serviço que ajuda a modelar e configurar recursos da AWS para que você possa gastar menos tempo criando e gerenciando recursos e infraestrutura. Crie um modelo que descreva todos os recursos da AWS desejados, e o CloudFormation provisionará e configurará esses recursos para você.
Extensibilidade
O SDK do Verified Permissions está disponível usando C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust e Swift.