Amazon Verified Permissions

きめ細かな認可を実現するフルマネージド Cedar サービス

Verified Permissions の概要

Amazon Verified Permissions は、証明可能な正しい Cedar ポリシー言語を使用するフルマネージド型の認可サービスであるため、より安全なアプリケーションを構築できます。Verified Permissions を使用すると、開発者は 認可を外部化し、ポリシーのマネジメントを一元化することで、アプリケーションを迅速に構築できます。また、アプリケーション内の認可をゼロトラストの原則に合わせることもできます。セキュリティと監査チームは、アプリケーション内の何に誰がアクセスできるかをより適切に分析および監査できます。

利点

ビジネスロジックから認可を分離することによってアプリケーション開発を加速化。
アプリケーションリソースを保護し、最小権限の原則に従ってユーザーアクセスを管理します。

自動化された分析を使用して Cedar で記述された許可が意図したとおりに機能することを確認することで、コンプライアンス監査を大規模に簡素化。

継続的なリアルタイム認可決定というゼロトラストの原則に沿ったアプリケーションを構築します。

ユースケース

テンプレートからポリシーを作成し、Amazon API Gateway と AWS AppSync 内でそれらの制御を適用します。

管理者は Cedar で記述したアプリケーション全体のポリシーを作成でき、デベロッパーはデータとリソースへのアクセス許可をユーザーに付与できます。

Cedar ポリシーモデルの変更を確認し、Amazon Verified Permissions を使用して認可リクエストを監視します。

お客様の声

  • TELUS

    TELUS Communications は、インターネットアクセス、音声、エンターテインメント、動画、セキュリティなど、幅広い通信製品とサービスを提供するカナダの国営通信企業です。TELUS は、クラウドテクノロジーにおける最新の進歩を利用して、コネクテッドデバイス全体でオートメーションエクスペリエンスを生み出すスマートリビングソリューションを開発しています。TELUS は、カメラやドアロックなどのスマートホームデバイスへのアクセス許可を制御するために、Amazon Verified Permissions を利用しています。例えば、お客様は、隣人が外のライトをオン/オフにすることを許可するが、メインドアのロックを解除することを許可しないアクセス許可を定義できます。

    Amazon Verified Permissions でアクセス許可管理を実装するのにかかった時間で、同サービスを利用することなく、自社でホームオートメーションのユースケース用の認可エンジンを作成し、認可エンジンを堅牢にしてテストすることは不可能だったでしょう。

    TELUS、Distinguished Engineer、Edwin Voskamp 氏
    動画を見る »
  • Grosvenor Engineering Group

    Grosvenor Engineering Group は、オーストラリアとニュージーランドの 45,000 棟の建物で、HVAC、防火、電気システムなど 15 億の資産ポートフォリオを管理しています。効率的で安全な運用を実現するため、同社は、建物内の資産へのアクセスを管理する堅牢な認可システムの必要性を認識しました。

    重要な要件の 1 つは、きめ細かなアクセスコントロールを提供し、技術者が特定の建物、または建物内の資産のみにアクセスできるようにすることでした。このアプローチにより、認可された人員と資産へのアクセスを制限することでセキュリティが強化され、潜在的なリスクが軽減されます。同社は、セキュリティ体制を強化するとともに、柔軟性を提供してくれるスケーラブルな Amazon Verified Permissions を認可システムとして利用することを決定しました。

    Cedar と Amazon Verified Permissions を利用してユースケースを解決することで、高いパフォーマンスを実現し、長期的にはアプリケーションに利益をもたらす柔軟性とスケールを得ることができました。AVP の消費ベースの料金モデルのおかげで、切り替えコストを低く抑えることができました。

    Grosvenor Engineering Group、CTO、Con Tsalikis 氏
    Grosvenor Engineering Group がサーバーレスアプリケーションのリクエストを認可する方法の詳細については、この動画をご視聴ください »
  • STEDI

    Stedi は、ヘルスケアクリアリングハウスおよび電子データ交換 (EDI) プラットフォームであり、ヘルスケアテクノロジー企業と既存のプレーヤーが、医療保険請求や適格性確認などのミッションクリティカルなトランザクションを交換できるようにします。Stedi は、トランザクションを処理するエンドポイントへのアクセスを保護するために Amazon API Gateway を利用しています。API Gateway は Amazon Verified Permissions を呼び出して、Cedar で記述された認可ポリシーを評価します。これらのポリシーは、特定のユーザーがアクセスできる API エンドポイントを決定します。

    Stedi は、Amazon Verified Permissions を利用して、厳しいタイムラインできめ細かい RBAC を構築しました。認可リクエストをバッチ処理して決定をキャッシュすることで、低レイテンシーで最大 7 億件のリクエストをコスト効率よく処理できます。

    Stedi、創業者兼 CEO、Zack Kanter 氏

AWS の詳細を見る