Verified Permissions の概要
Amazon Verified Permissions は、証明可能な正しい Cedar ポリシー言語を使用するフルマネージド型の認可サービスであるため、より安全なアプリケーションを構築できます。Verified Permissions を使用すると、開発者は 認可を外部化し、ポリシーのマネジメントを一元化することで、アプリケーションを迅速に構築できます。また、アプリケーション内の認可をゼロトラストの原則に合わせることもできます。セキュリティと監査チームは、アプリケーション内の何に誰がアクセスできるかをより適切に分析および監査できます。
利点
ユースケース
お客様の声
-
TELUS
TELUS Communications は、インターネットアクセス、音声、エンターテインメント、動画、セキュリティなど、幅広い通信製品とサービスを提供するカナダの国営通信企業です。TELUS は、クラウドテクノロジーにおける最新の進歩を利用して、コネクテッドデバイス全体でオートメーションエクスペリエンスを生み出すスマートリビングソリューションを開発しています。TELUS は、カメラやドアロックなどのスマートホームデバイスへのアクセス許可を制御するために、Amazon Verified Permissions を利用しています。例えば、お客様は、隣人が外のライトをオン/オフにすることを許可するが、メインドアのロックを解除することを許可しないアクセス許可を定義できます。
Amazon Verified Permissions でアクセス許可管理を実装するのにかかった時間で、同サービスを利用することなく、自社でホームオートメーションのユースケース用の認可エンジンを作成し、認可エンジンを堅牢にしてテストすることは不可能だったでしょう。
TELUS、Distinguished Engineer、Edwin Voskamp 氏 -
Grosvenor Engineering Group
Grosvenor Engineering Group は、オーストラリアとニュージーランドの 45,000 棟の建物で、HVAC、防火、電気システムなど 15 億の資産ポートフォリオを管理しています。効率的で安全な運用を実現するため、同社は、建物内の資産へのアクセスを管理する堅牢な認可システムの必要性を認識しました。
重要な要件の 1 つは、きめ細かなアクセスコントロールを提供し、技術者が特定の建物、または建物内の資産のみにアクセスできるようにすることでした。このアプローチにより、認可された人員と資産へのアクセスを制限することでセキュリティが強化され、潜在的なリスクが軽減されます。同社は、セキュリティ体制を強化するとともに、柔軟性を提供してくれるスケーラブルな Amazon Verified Permissions を認可システムとして利用することを決定しました。
Cedar と Amazon Verified Permissions を利用してユースケースを解決することで、高いパフォーマンスを実現し、長期的にはアプリケーションに利益をもたらす柔軟性とスケールを得ることができました。AVP の消費ベースの料金モデルのおかげで、切り替えコストを低く抑えることができました。
Grosvenor Engineering Group、CTO、Con Tsalikis 氏 -
STEDI
Stedi は、ヘルスケアクリアリングハウスおよび電子データ交換 (EDI) プラットフォームであり、ヘルスケアテクノロジー企業と既存のプレーヤーが、医療保険請求や適格性確認などのミッションクリティカルなトランザクションを交換できるようにします。Stedi は、トランザクションを処理するエンドポイントへのアクセスを保護するために Amazon API Gateway を利用しています。API Gateway は Amazon Verified Permissions を呼び出して、Cedar で記述された認可ポリシーを評価します。これらのポリシーは、特定のユーザーがアクセスできる API エンドポイントを決定します。
Stedi は、Amazon Verified Permissions を利用して、厳しいタイムラインできめ細かい RBAC を構築しました。認可リクエストをバッチ処理して決定をキャッシュすることで、低レイテンシーで最大 7 億件のリクエストをコスト効率よく処理できます。
Stedi、創業者兼 CEO、Zack Kanter 氏 -
Twilio
Twilio はサービスとしてのコミュニケーションプラットフォームで、デベロッパーが音声、テキスト、チャット、動画、E メールなどのチャネルにわたるコミュニケーションワークフローをアプリケーションに組み込むためのツールを提供しています。Twilio が提供するデジタルエンゲージメント製品である Twilio Flex を使用すると、企業は販売からサポートまでのライフサイクルを通じて顧客とのやり取りを管理できます。例えば、Flex をコンタクトセンターとして設定すると、顧客が複数のチャネル (チャット、音声、E メール、テキスト) を通じて連絡を取り、リクエストを処理するための適切なスキルを持つエージェントにルーティングされます。Twilio Flex が 2019 年のローンチから拡大するにつれ、チームは高度な認証を実装する必要がありました。これは、当初の基本的なリソースベースのアクセス許可モデルを超えて、より複雑なアクセス制御要件を処理するよう迫られたのです。同社はさまざまな認証方法を評価し、最終的に Amazon Verified Permissions を実装することを選択しました。これにより、高可用性を維持しながらきめ細かなアクセス許可を設定するニーズを満たすことができます。
Twilio Flex が進化するにつれ、成長とともに規模を拡大できる認証システムを必要としていました。大まかなアクセスでは、ロールに基づいて一連の API へのアクセスを許可するトークンを使用します。次に、Amazon Verified Permissions を使用して、Cedar ポリシーと呼ばれるより詳細なアクセス許可を管理します。Cedar ポリシーは、ユーザーがこれらの API を介してアクセスできるデータを決定します。Cedar を使用することで、認証ロジックを外部化できるため、コードベースが簡素化され、セキュリティ体制が改善されます。Cedar の表現力により、お客様固有のニーズを満たすポリシーを作成できます。AVP のアーキテクチャにより、アクセス許可監査の一元管理と、パフォーマンスと信頼性を高める分散型の意思決定を組み合わせることができます。
Twilio、Principal Engineer、Peter Lavelle 氏 -
FIS
金融サービステクノロジーの世界的リーダーである FIS は、年間 50 兆 USD の支払いを管理し、業界をリードする FIS Insurance Risk Suite - Prophet ソリューションで世界の上位 50 社の保険会社の 80% にサービスを提供しています。80 か国に 10,000 人のユーザーを抱える FIS Prophet チームは、アクチュアリー、モデル承認者、監査人にきめ細かなアクセス制御を提供すると同時に、サーベンス・オクスリー法などの規制を確実に遵守するための強固なアクセス許可管理フレームワークの必要性を認識していました。
FIS は、Amazon Verified Permissions (AVP) を使用して、Prophet 用の包括的なアクセス許可管理フレームワークを構築しました。このアクセス許可フレームワークにより、ロールベースのアクセス許可と属性ベースのアクセス許可の両方を組み合わせて、セキュリティを強化し、コンプライアンスを実現することで、きめ細かなアクセス制御が可能になります。
Amazon Verified Permissions (AVP) と Cedar ポリシー言語を使用すると、許可を外部で定義し、すべてのポリシーを一元管理できます。AVP は、実行者、実行日時など、すべてのアクションを記録することで明確な監査証跡を作成し、必要なときにいつでも確認できるようにこれらすべての記録を安全に保存します。
FIS、Software Engineer、Ana Kosutic 氏