คำถามที่พบบ่อยเกี่ยวกับสิทธิ์ที่ยืนยันโดย Amazon
หัวข้อของหน้า
ข้อมูลทั่วไปข้อมูลทั่วไป
สิทธิ์ที่ยืนยันโดย Amazon คืออะไร
สิทธิ์ที่ยืนยันจะช่วยให้คุณปรับใช้และบังคับใช้การอนุญาตแบบละเอียดบนทรัพยากรต่างๆ ภายในแอปพลิเคชันที่คุณสร้างขึ้น และนำไปใช้จริง เช่น ระบบ HR และแอปพลิเคชันธนาคาร หากคุณมีสิทธิ์ที่ยืนยัน คุณจะสามารถดำเนินการดังต่อไปนี้ได้
- กำหนดรูปแบบการเข้าถึงตามนโยบายซึ่งจะอธิบายถึงทรัพยากรที่จัดการโดยแอปพลิเคชันของคุณและการดำเนินการต่างๆ (เช่น การดู การอัปเดต และการแชร์) ที่ผู้ใช้สามารถดำเนินการกับทรัพยากรเหล่านั้นได้
- มอบความสามารถในการเข้าถึงทรัพยากรเหล่านั้นแก่ผู้ใช้แอปพลิเคชัน โดยแอปพลิเคชันจะสร้างสิทธิ์ในการดูและอัปเดตบันทึกแก่ผู้เชี่ยวชาญ แล้วจัดเก็บสิทธิ์ดังกล่าวไว้ในสิทธิ์ที่ยืนยัน
- บังคับใช้สิทธิ์เหล่านั้น
เหตุใดฉันจึงควรใช้งานสิทธิ์ที่ยืนยัน
คุณควรใช้งานสิทธิ์ที่ยืนยันร่วมกับผู้ให้บริการข้อมูลระบุตัวตนของคุณ เช่น Amazon Cognito เพื่อให้แอปพลิเคชันของคุณมีโซลูชันการจัดการการเข้าถึงตามนโยบายที่มีประสิทธิภาพมากยิ่งขึ้น คุณสามารถสร้างแอปพลิเคชันที่ช่วยให้ผู้ใช้ตำแหน่งข้อมูลสามารถแชร์ข้อมูลและทำงานร่วมกันควบคู่ไปกับการดูแลรักษาความปลอดภัย ความลับ และความเป็นส่วนตัวของผู้ใช้ได้ สิทธิ์ที่ยืนยันจะช่วยให้คุณสร้างแอปพลิเคชันได้รวดเร็วกว่าเดิม ทั้งยังช่วยลดต้นทุนการดำเนินงานด้วยการจัดเตรียมระบบการอนุญาตแบบละเอียดที่คุณสามารถบังคับใช้การเข้าถึงตามบทบาท รวมถึงคุณลักษณะของข้อมูลระบุตัวตนและทรัพยากรของคุณได้อีกด้วย คุณจึงสามารถกำหนดรูปแบบนโยบายของตนเอง สร้างและจัดเก็บนโยบายในพื้นที่ส่วนกลาง ตลอดจนประเมินคำขอเข้าถึงทรัพยากรได้ในระดับมิลลิวินาที โดยในฐานะเครื่องมือกำหนดนโยบาย สิทธิ์ที่ยืนยันจะช่วยให้แอปพลิเคชันของคุณตรวจสอบยืนยันการดำเนินการของผู้ใช้ได้แบบเรียลไทม์ตามที่ Zero Trust กำหนด ตลอดจนไฮไลต์สิทธิ์ที่ได้รับสิทธิ์มากเกินกว่าที่จำเป็นและไม่ถูกต้องด้วยเช่นกัน สิทธิ์ที่ยืนยันรองรับการกำกับดูแลและการปฏิบัติตามข้อกำหนด จึงมีเครื่องมือการตรวจสอบสำหรับกำหนดค่า บำรุงรักษา และวิเคราะห์สิทธิ์ในหลากหลายแอปพลิเคชันเพื่อช่วยตอบคำถามต่างๆ เช่น ใครมีสิทธิ์เข้าถึงทรัพยากรใดบ้างได้
ฉันจะเริ่มต้นอย่างไรดี
คุณสามารถเข้าถึงสิทธิ์ที่ยืนยันโดย Amazonได้ในส่วนการรักษาความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนดภายในคอนโซลการจัดการของ AWS ทั้งยังตั้งค่าแอปพลิเคชันแรกได้ง่ายๆ ด้วยการใช้ตัวช่วยติดตั้งที่จะพาคุณเข้าสู่ขั้นตอนการกำหนดรูปแบบสิทธิ์ของแอปพลิเคชันและการสร้างสิทธิ์ต่างๆ เพื่อให้คุณสามารถใช้ API ของบริการหรือคอนโซลในการประเมินคำขอเข้าถึงทรัพยากรได้หลังจากนั้น
สิทธิ์ที่ยืนยันทำงานร่วมกับบริการอื่น ๆ ของ AWS อย่างไร
การใช้งานสิทธิ์ที่ยืนยันร่วมกับ Amazon Cognito และผู้ให้บริการข้อมูลระบุตัวตนรายอื่นๆ จะช่วยให้แอปพลิเคชันสำหรับผู้บริโภคของคุณมีโซลูชันการจัดการการเข้าถึงที่มีประสิทธิภาพ นักพัฒนาแอปพลิเคชันสามารถใช้ Amazon Cognito ในการจัดการข้อมูลระบุตัวตนของผู้ใช้และตรวจสอบผู้ใช้ในขั้นตอนการลงชื่อเข้าใช้ เพื่อให้สิทธิ์ที่ยืนยันสามารถระบุทรัพยากรในแอปพลิเคชันที่ผู้ใช้ที่ผ่านการตรวจสอบแล้วมีสิทธิ์เข้าถึงต่อไปได้ นอกจากนี้ คุณยังสามารถใช้บริการนี้ร่วมกับศูนย์ข้อมูลประจำตัวของ IAM เพื่อจัดการแอปพลิเคชันของบุคลากรได้ด้วยเช่นกัน
เหตุใดฉันจึงต้องให้สิทธิ์แบบละเอียดสำหรับแอปพลิเคชันที่ฉันสร้าง และสิทธิ์ที่ยืนยันนั้นรองรับแอปพลิเคชันเหล่านี้อย่างไร
คุณต้องให้สิทธิ์แบบละเอียดในแอปพลิเคชันของตนเองเพื่อให้สิทธิ์การเข้าถึงสำหรับผู้ใช้ตามที่จำเป็นสำหรับสถาปัตยกรรม Zero Trust ระบบการให้สิทธิ์ตามนโยบายส่วนกลางช่วยให้นักพัฒนามีวิธีการที่สอดคล้องกันในด้านการกำหนดและจัดการการอนุญาตอย่างละเอียดทั่วทั้งแอปพลิเคชัน ลดความซับซ้อนของกฎการอนุญาตโดยไม่จำเป็นต้องเปลี่ยนโค้ด และปรับปรุงสิทธิ์อนุญาตด้านความสามารถการมองเห็นโดยการนำพวกเขาออกจากรหัส
ฉันจะกำหนดรูปแบบการเข้าถึงตามนโยบายในสิทธิ์ที่ยืนยันสำหรับผู้ใช้ ทรัพยากร และการดำเนินการของฉันได้อย่างไร
คุณสามารถสร้างรูปแบบการเข้าถึงตามนโยบายที่จะอธิบายทรัพยากรที่จัดการโดยแอปพลิเคชันของคุณและการดำเนินการที่สามารถกระทำกับทรัพยากรเหล่านั้นได้ โดยทรัพยากรดังกล่าวสามารถเป็นข้อมูลระบุตัวตนที่ไม่ใช่มนุษย์ได้ด้วย เช่น อุปกรณ์หรือกระบวนการของระบบ ทั้งนี้ คุณสามารถสร้างรูปแบบของตนเองได้ผ่านคอนโซล, API หรืออินเทอร์เฟซบรรทัดคำสั่ง
สิทธิ์ที่ยืนยันสามารถทำงานร่วมกับผู้ให้บริการข้อมูลระบุตัวตนรายอื่น ๆ นอกเหนือจาก Amazon Cognito ได้หรือไม่
ได้ สิทธิ์ที่ยืนยันสามารถนำไปใช้กับข้อมูลระบุตัวตนจากผู้ให้บริการรายต่าง ๆ เช่น Okta, Ping Identity และ CyberArk ได้
ฉันจะกำหนดสิทธิ์ได้อย่างไร
คุณสามารถกำหนดสิทธิ์ได้โดยใช้ภาษานโยบาย Cedar นโยบาย Cedar เป็นคำสั่งอนุญาตหรือห้าม ซึ่งจะเป็นตัวกำหนดว่าผู้ใช้สามารถดำเนินการกับทรัพยากรนั้น ๆ ได้หรือไม่ นโยบายเชื่อมโยงกับทรัพยากร และคุณสามารถแนบนโยบายหลายรายการกับทรัพยากรได้ และนโยบายห้ามจะมีสิทธิ์เหนือนโยบายอนุญาต วิธีนี้จะช่วยคุณสร้างกฎควบคุมระบบภายในแอปพลิเคชันของตนเองซึ่งจะป้องกันการเข้าถึงต่าง ๆ โดยจะมีนโยบายอนุญาตนโยบายใดที่บังคับใช้อยู่หรือไม่ก็ตาม
Cedar คืออะไร
Cedar คือภาษาการควบคุมการเข้าถึงตามนโยบายที่ยืดหยุ่น ขยายได้ และปรับขนาดได้ ช่วยให้นักพัฒนาแสดงการอนุญาตของแอปพลิเคชันเป็นนโยบาย ผู้ดูแลและนักพัฒนาสามารถกำหนดนโยบายที่อนุญาตหรือห้ามผู้ใช้ดำเนินการกับทรัพยากรต่าง ๆ ในแอปพลิเคชันได้ โดยทรัพยากรหนึ่ง ๆ สามารถแนบกับนโยบายได้หลายรายการ เมื่อผู้ใช้แอปพลิเคชันของคุณพยายามดำเนินการกับทรัพยากร แอปพลิเคชันของคุณจะส่งคำขออนุญาตไปยังเครื่องมือนโยบายของ Cedar จากนั้น Cedar จะประเมินนโยบายต่างๆ ที่เกี่ยวข้องและส่งคำตัดสิน PERMIT หรือ FORBID กลับไป Cedar รองรับกฎการอนุญาตสำหรับผู้ใช้/บริการ/บัญชีที่มีอำนาจในการดำเนินการและทรัพยากรทุกประเภท อนุญาตให้มีการควบคุมการเข้าถึงตามบทบาทและคุณลักษณะ ตลอดจนรองรับการวิเคราะห์ผ่านเครื่องมือการให้เหตุผลอัตโนมัติ
แอปพลิเคชันของฉันจะประเมินคำขอเข้าถึงทรัพยากรจากผู้ใช้ได้อย่างไร
เมื่อผู้ใช้แอปพลิเคชันของคุณพยายามดำเนินการกับทรัพยากร แอปพลิเคชันของคุณจะสามารถเรียกใช้ API สิทธิ์ที่ยืนยันพร้อมคำขอการให้สิทธิ์ได้ สิทธิ์ที่ยืนยันจะตรวจสอบคำขอกับนโยบายที่เกี่ยวข้องและส่งคืนคำตัดสิน ALLOW หรือ DENY ตามผลการประเมินนั้น โดยแอปพลิเคชันของคุณสามารถอนุญาตให้ผู้ใช้ดำเนินการกับทรัพยากรนั้นหรือบล็อกการดำเนินการได้ตามผลลัพธ์ข้างต้น
ฉันจะผสานรวมแอปพลิเคชันของฉันเข้ากับสิทธิ์ที่ยืนยันเพื่อสร้างและประเมินนโยบายในสิทธิ์ที่ยืนยันได้อย่างไร
ใช้ API สิทธิ์ที่ยืนยันในแอปพลิเคชันของคุณเพื่อสร้างนโยบาย อัปเดตนโยบาย แนบนโยบายกับทรัพยากร รวมถึงอนุญาตคำขอเข้าถึงทรัพยากรของผู้ใช้ แอปพลิเคชันของคุณจะสร้างคำขอขึ้นเมื่อผู้ใช้พยายามดำเนินการกับทรัพยากร โดยคำขอดังกล่าวจะประกอบไปด้วยข้อมูลเกี่ยวกับผู้ใช้ การดำเนินการ และทรัพยากร และจะส่งต่อข้อมูลเหล่านี้ไปยังสิทธิ์ที่ยืนยัน ซึ่งบริการนี้จะประเมินคำขอและตอบกลับคำตัดสินด้วยค่า ALLOW หรือ DENY เพื่อให้แอปพลิเคชันของคุณดำเนินการบังคับใช้คำตัดสินดังกล่าวต่อไป
ฉันจะยืนยันได้อย่างไรว่าสิทธิ์ที่สร้างขึ้นในสิทธิ์ที่ยืนยันนั้นถูกต้อง
สิทธิ์ที่ยืนยันจะตรวจสอบนโยบายต่างๆ ที่คุณสร้างขึ้นกับรูปแบบสิทธิ์ และจะปฏิเสธนโยบายใดๆ ก็ตามที่ไม่ถูกต้อง ตัวอย่างเช่น หากการดำเนินการที่ระบุไว้ในนโยบายเป็นการดำเนินการที่ไม่ถูกต้องสำหรับทรัพยากรประเภทนั้นๆ ระบบก็จะไม่อนุญาตให้แอปพลิเคชันของคุณสร้างนโยบายดังกล่าวได้ สิทธิ์ที่ยืนยันจะช่วยให้คุณสามารถตรวจสอบความถูกต้องสมบูรณ์ของนโยบายของตนเองได้ นอกจากนั้นแล้วยังช่วยให้คุณสามารถระบุนโยบายที่ขัดแย้งกันโดยตรง ทรัพยากรที่ไม่มีผู้ใช้รายใดได้รับสิทธิ์การเข้าถึง หรือผู้ใช้ที่มีสิทธิ์การเข้าถึงมากเกินกว่าที่จำเป็นได้อีกด้วย บริการนี้ใช้รูปแบบการวิเคราะห์ทางคณิตศาสตร์ที่เรียกว่าการให้เหตุผลอัตโนมัติที่สามารถวิเคราะห์นโยบายนับล้านในหลากหลายแอปพลิเคชันได้
สิทธิ์ที่ยืนยันสามารถช่วยฉันในเรื่องการปฏิบัติตามข้อกำหนดและการตรวจสอบได้อย่างไร
สิทธิ์ที่ยืนยันช่วยให้คุณสามารถกำหนดผู้ที่มีสิทธิ์เข้าถึงทรัพยากรต่างๆ และผู้ที่สามารถดูและปรับแต่งสิทธิ์เหล่านั้นได้ วิธีนี้จึงเป็นการยืนยันว่าจะมีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถปรับแต่งสิทธิ์ของแอปพลิเคชันได้และการเปลี่ยนแปลงดังกล่าวจะได้รับการตรวจสอบอย่างครบถ้วน นอกจากนี้ ผู้ตรวจสอบยังสามารถดูผู้ที่ดำเนินการเปลี่ยนแปลงและเวลาที่เกิดการเปลี่ยนแปลงดังกล่าวได้อีกด้วย
ฉันสามารถสร้างนโยบายในสิทธิ์ที่ยืนยันโดยใช้ภาษานโยบาย IAM ได้หรือไม่
ไม่ได้ คุณต้องใช้ภาษานโยบาย Cedar ในการสร้างนโยบาย เนื่องจากภาษา Cedar ได้รับการออกแบบมาให้รองรับการจัดการสิทธิ์ในทรัพยากรของแอปพลิเคชันของลูกค้า ในขณะที่ภาษานโยบาย IAM ได้รับการพัฒนาให้รองรับการควบคุมการเข้าถึงทรัพยากรของ AWS