س: ما أذونات Amazon المُصدّقة؟
تساعدك الأذونات المُصدّقة في إجراء وإنفاذ التفويض الدقيق المتعلق بالموارد داخل التطبيقات التي تنشئها وتنشرها، مثل أنظمة الموارد البشرية وتطبيقات الخدمات المصرفية. وعند استخدام الأذونات المُصدّقة، يمكنك إجراء المهام التالية:
- تحديد نموذج الوصول المستند إلى السياسة الذي يوضح الموارد المُدارة من تطبيقك والإجراءات (مثل العرض، والتحديث، والمشاركة) التي ينفذها المستخدمون في هذه الموارد.
- تزويد مستخدمي التطبيقات بإمكانية إدارة الوصول إلى هذه الموارد. وينشئ التطبيق إذنًا للمتخصص بحيث يمكنه عرض السجلات وتحديثها، ثم تخزينها في الأذونات المُصدّقة.
- إنفاذ هذه الأذونات.
س: ما أسباب استخدام الأذونات المُصدّقة؟
استخدِم الأذونات المُصدّقة ومُزود الهويات لديك، مثل Amazon Cognito للحصول على حل أكثر ديناميكية وقائم على السياسة لإدارة الوصول إلى تطبيقاتك. ويمكنك إنشاء تطبيقات تساعد المستخدمين النهائيين في مشاركة المعلومات والتعاون، مع ضمان الحفاظ على أمان وسرية وخصوصية البيانات. تساعدك الأذونات المُصدّقة في إنشاء التطبيقات بشكل أسرع. وتساعد أيضًا في تقليل التكاليف التشغيلية من خلال تزويدك بنظام تفويض دقيق لإنفاذ الوصول استنادًا إلى أدوار وسمات الهويات والموارد. يمكنك تحديد نموذج السياسة الخاص بك، ووضع السياسات وتخزينها في موقع مركزي، وتقييم طلبات الوصول في غضون مللي ثانية. تعمل الأذونات المُصدّقة كمحرّك للسياسة وهي تساعد تطبيقك في التحقق من إجراءات المستخدم في الوقت الفعلي كما هو مطلوب وفقًا لمبدأ انعدام الثقة. وتساعد أيضًا على تمييز الأذونات ذات الامتيازات الكبيرة وغير الصالحة. تدعم الأذونات المُصدّقة الحوكمة والامتثال. وتوفر أدوات التدقيق لتكوين الأذونات والاحتفاظ بها وتحليلها عبر العديد من التطبيقات المتنوعة لمساعدتك في الإجابة عن الأسئلة، مثل معرفة المستخدمين وتحديد الموارد التي لديهم حق الوصول إليها.
س: كيف يمكنني البدء؟
في وحدة إدارة تحكم AWS، يمكنك الوصول إلى Amazon Verified Permissions (أذونات Amazon المُصدّقة) ضمن الخيار Security, Identity, and Compliance (الأمان والهوية والامتثال). يمكنك تبسيط عملية إعداد أول تطبيق لك من خلال استخدام المعالج الذي يساعدك خطوة بخطوة في تحديد نموذج أذونات التطبيق وإنشاء الأذونات. ويمكنك بعد ذلك استخدام واجهة برمجة تطبيقات الخدمة أو وحدة التحكم في تقييم طلبات الوصول.
س: كيف تعمل الأذونات المُصدّقة مع خدمات AWS الأخرى؟
توفر لك الأذونات المُصدّقة بالاقتران مع Amazon Cognito ومُزودي الهويات الآخرين حلاً ديناميكيًا لإدارة الوصول في تطبيقات المستهلكين. ويمكن لمطوري التطبيقات استخدام Amazon Cognito في إدارة هويات المستخدمين ومصادقتهم عند تسجيل الدخول. يمكن بعد ذلك أن تحدد الأذونات المُصدّقة موارد التطبيقات المسموح لمستخدم مُصدّق بالوصول إليها. ويمكنك أيضًا استخدام الخدمة مع مركز هوية IAM في تطبيقات القوة العاملة.
س: لماذا عليّ الحصول على تفويض دقيق للتطبيقات التي أنشئها، وكيف تدعمها الأذونات المُصدّقة؟
تحتاج إلى الحصول على التفويض الدقيق في تطبيقاتك لتقييد وصول المستخدمين إلى الامتيازات الأقل كما هو مطلوب وفقًا لهيكلة مبدأ انعدام الثقة. ويوفر نظام مركزي للتفويض المستند إلى السياسة للمطورين طريقة متسقة لتحديد التفويض الدقيق وإدارته عبر التطبيقات، ويبسّط قواعد الأذونات المتغيرة بدون الحاجة إلى تغيير الرمز، ويحسّن إمكانية الوصول إلى الأذونات من خلال نقلها خارج التعليمات البرمجية.
س: كيف يمكنني تحديد نموذج الوصول المستند إلى السياسة في الأذونات المُصدّقة للمستخدمين والموارد والإجراءات الخاصة بي؟
يمكنك إنشاء نموذج الوصول المستند إلى السياسة ويوضح الموارد المُدارة من التطبيق والإجراءات التي يمكن اتخاذها بشأن هذه الموارد. يمكن أن تتضمن هذه الموارد هويات غير شخصية، مثل الأجهزة أو عمليات النظام. يمكنك إنشاء نموذج خاص بك من خلال وحدة التحكم، أو واجهة برمجة تطبيقات، أو واجهة سطر الأوامر.
س: هل تعمل الأذونات المُصدّقة مع مُزودي الهويات بخلاف Amazon Cognito؟
نعم، يمكن استخدام الأذونات المُصدّقة مع مُزودي الهويات، مثل Okta وPing Identity وCyberArk.
س: كيف يمكنني تحديد الأذونات؟
يمكنك تحديد الأذونات من خلال لغة السياسة Cedar. وسياسات Cedar هي عبارات للسماح أو للمنع تحدد ما إذا كان يمكن للمستخدم تنفيذ أي إجراء على أي مورد. ترتبط السياسات بالموارد، ويمكنك إرفاق سياسات متعددة بمورد. تُبطل سياسات المنع سياسات السماح. يساعد ذلك على إنشاء حواجز حماية في تطبيقك تمنع الوصول، بغض النظر عن سياسات السماح المُستخدمة.
س: ما هي لغة Cedar؟
Cedar هي لغة تحكّم في الوصول بالاستناد إلى السياسية تتميّز بمرونتها وقابلية توسّعها وتساعد المطورين في التعبير عن أذونات التطبيقات باعتبارها سياسات. ويمكن للمسؤولين والمطورين تحديد السياسات التي تتيح للمستخدمين تنفيذ إجراء بموارد التطبيقات أو تمنعهم من ذلك. يمكن إرفاق سياسات متعددة في مورد واحد. عندما يحاول أحد مستخدمي تطبيقك تنفيذ أي إجراء على أحد الموارد، يقدم تطبيقك إلى محرك سياسة Cedar طلب تصريح بالوصول. تقيّم Cedar السياسات السارية وينتج عن ذلك ظهور رسالة تعرض أحد القرارين ALLOW (السماح) أو DENY (الرفض). توفر Cedar قواعد منح الوصول لأي نوع من المستخدمين الأساسيين والموارد، وتتيح التحكم في الوصول المستند إلى السمة أو الدور، كما توفر التحليل من خلال أدوات التفسير المنطقي الآلية.
س: كيف يمكن لتطبيقي تقييم طلبات الوصول المُقدمة من المستخدمين؟
عندما يحاول أحد مستخدمي تطبيقك تنفيذ أي إجراء بأحد الموارد، يستدعي تطبيقك واجهة برمجة تطبيقات الأذونات المُصدّقة من خلال طلب التفويض. وتتحقق الأذونات المُصدّقة من الطلب المتعلق بالسياسات المناسبة، ثم تقرر السماح أو الرفض بناءً على نتيجة هذا التقييم. وبناءً على هذه النتيجة، يتيح تطبيقك للمستخدم تنفيذ الإجراء أو حظره.
س: كيف يمكنني تكامل تطبيقي مع الأذونات المُصدّقة لوضع سياسات الأذونات المُصدّقة وتقييمها؟
استخدِم واجهات برمجة تطبيقات الأذونات المُصدّقة في تطبيقك لوضع السياسات وتحديثها وإرفاقها بالموارد وتفويض طلبات وصول المستخدم. عندما يحاول أحد المستخدمين تنفيذ أي إجراء بأحد الموارد، سينشئ تطبيقك طلبًا. ويتضمن هذا الطلب معلومات عن المستخدمين والإجراءات والموارد، ثم يمررها إلى الأذونات المُصدّقة. تقيّم الخدمة الطلب وتستجيب بإصدار قرار ALLOW (السماح) أو DENY (الرفض). ويكون تطبيقك عندئذ مسؤولاً عن إنفاذ هذا القرار.
س:كيف يمكنني تأكيد صحة الأذونات التي أُنشأت في الأذونات المُصدّقة؟
تتحقق الأذونات المُصدّقة من نموذج الأذونات للسياسات التي تنشئها، وترفض أي سياسات غير صالحة. فعلى سبيل المثال، إذا كانت الإجراءات الموضحة في السياسة غير صالحة لنوع الموارد، يُمنع تطبيقك من وضع السياسة. وتساعدك الأذونات المُصدّقة في التحقق من اكتمال سياساتك وصحتها. وتساعدك الخدمة أيضًا في تحديد السياسات التي تتعارض بشكل مباشر مع بعضها، أو الموارد التي لا يُسمح لأي مستخدم بالوصول إليها أبدًا، أو المستخدمين الذين لديهم حق وصول بامتيازات كبيرة. تستخدم الخدمة أحد أشكال التحليل الرياضي المعروف بمصطلح الاستدلال الآلي الذي يمكنه تحليل ملايين السياسات في تطبيقات متعددة.
س: كيف يمكن أن تساعدني الأذونات المُصدّقة في الامتثال والتدقيق؟
تساعدك الأذونات المُصدّقة في تحديد المستخدمين الذين لديهم حق الوصول إلى موارد معينة، والمستخدمين الذين يمكنهم عرض الأذونات وتعديلها. وتؤكد على أنه غير مسموح لأي مستخدم إلا المستخدمين المعتمدين بتعديل أحد أذونات التطبيق، وأنه تم تدقيق التغييرات بالكامل. يتعرف المدققون على هوية المستخدمين الذين أجروا التغييرات ووقت إجرائها.
س: هل يمكنني وضع سياسات في الأذونات المُصدّقة باستخدام لغة سياسة IAM؟
لا. عليك استخدام لغة سياسة Cedar لصياغة السياسات. فهي مصممة لكي تتيح إدارة أذونات موارد تطبيقات العملاء، بينما تم تصميم لغة سياسة IAM لكي تتيح التحكم في الوصول إلى موارد AWS.