Các tính năng của Quyền được xác minh Amazon
Xác định mô hình cấp phép của bạn
Lược đồ
Với hỗ trợ dành cho Cedar, bạn xác định lược đồ của mình theo từng loại thực thể, bao gồm các thuộc tính liên quan đến mô hình cấp phép và các tổ hợp hợp lệ của các loại đối tượng nhận quyền, loại tài nguyên và hành động. Quyền được xác minh sử dụng lược đồ để xác thực rằng chính sách tĩnh hoặc mẫu chính sách phù hợp với mô hình cấp phép của ứng dụng. Bạn có thể sử dụng JSON để xác định lược đồ trong Quyền được xác minh. Lược đồ trong Quyền được xác minh có một số điểm tương đồng với lược đồ JSON ngoài việc sử dụng các khía cạnh độc đáo của ngôn ngữ chính sách Cedar. Bạn có thể xác định các nhóm hành động trong lược đồ của bạn bằng các chính sách cho phép hoặc cấm các nhóm hành động.
Yêu cầu cấp phép
Kết nối ứng dụng của bạn với dịch vụ thông qua API để cấp phép các yêu cầu truy cập của người dùng. Đối với mỗi yêu cầu cấp phép, dịch vụ truy xuất các chính sách liên quan và đánh giá những chính sách dựa trên Cedar đó để xác định xem người dùng có được phép thực hiện hành động trên tài nguyên có bối cảnh đầu vào như người dùng, vai trò, tư cách thành viên nhóm và thuộc tính hay không.
Quản lý và xác nhận chính sách
Cửa hàng chính sách
Cửa hàng chính sách là một bộ chứa chính sách dựa trên Cedar trong Quyền được xác minh, được phân lập một cách hợp lý từ các bộ chứa khác. Bạn có thể tạo tất cả các mối quan hệ phân cấp và cấu hình trong một cửa hàng chính sách duy nhất để phân biệt chính sách và mẫu chính sách từ các cửa hàng chính sách khác. Các cửa hàng chính sách thường ánh xạ tới từng ứng dụng và cho phép bạn tạo các cấu hình và quy tắc lược đồ khác nhau trên nhiều đối tượng thuê mà không cần hoạt động chia sẻ hoặc kết nối giữa chúng. Ví dụ: bạn có thể có một cửa hàng chính sách riêng cho từng đối tượng thuê sử dụng ứng dụng Quyền đã xác minh; bạn có thể xóa cửa hàng chính sách của một đối tượng thuê mà không làm ảnh hưởng đến tài nguyên, lược đồ, chính sách và mẫu chính sách của bất kỳ cửa hàng chính sách nào khác.
Tính năng công cụ thử nghiệm
Công cụ thử nghiệm là một công cụ để kiểm tra và khắc phục sự cố các chính sách Quyền được xác minh bằng cách chạy một yêu cầu cấp phép mô phỏng cho tất cả các chính sách dựa trên Cedar trong cửa hàng chính sách của bạn. Công cụ thử nghiệm sử dụng các tham số mà bạn chỉ định để xác định xem các chính sách trong cửa hàng chính sách của bạn có cấp phép cho yêu cầu hay không.
Mẫu chính sách
Bạn có thể sử dụng mẫu chính sách, nghĩa là tuyên bố chính sách dựa trên Cedar với chỗ dành sẵn trong phạm vi sẽ được điền vào với các giá trị cụ thể. Một mẫu chính sách có thể có chỗ dành sẵn cho đối tượng nhận quyền, tài nguyên hoặc cả hai. Các bản cập nhật cho mẫu chính sách được phản ánh trên tất cả các đối tượng nhận quyền và tài nguyên sử dụng mẫu, còn được gọi là chính sách liên kết với mẫu.
Chúng tôi khuyên bạn nên sử dụng mẫu chính sách để tạo các chính sách dựa trên Cedar có thể chia sẻ được trong toàn bộ ứng dụng của bạn. Ví dụ: bạn có thể tạo mẫu chính sách cho trình soạn thảo cung cấp quyền đọc, chỉnh sửa và nhận xét cho đối tượng nhận quyền và tài nguyên sử dụng mẫu chính sách. Bạn cũng có thể sử dụng mẫu chính sách để xác định các biện pháp kiểm soát quyền truy cập ở mức độ khái quát, trung bình và chi tiết cho các ứng dụng của mình. Ví dụ: bạn có thể sử dụng mẫu chính sách để chỉ định người dùng cụ thể cho một nhóm, biện pháp kiểm soát ở mức độ trung bình để chỉ định quyền truy cập vào các tài nguyên cụ thể và biện pháp kiểm soát ở mức độ chi tiết cho các thuộc tính chi tiết nhất trên tài nguyên.
Truy vấn và kiểm tra chính sách
Chính sách truy vấn
Khi sử dụng API Quyền được xác minh, bạn có thể chạy các truy vấn cụ thể đối với các chính sách được lưu trữ trong Quyền được xác minh. Bạn có thể truy vấn chính sách của mình để xác định chính sách nào được áp dụng cho đối tượng nhận quyền cụ thể, tài nguyên cụ thể hoặc cả hai.
Kiểm tra và ghi nhật ký
Bạn có thể định cấu hình và kết nối Quyền được xác minh để gửi bản ghi cấp phép và quản lý chính sách của mình tới AWS CloudTrail.
Tích hợp và khả năng mở rộng
Tích hợp với Amazon Cognito
Bạn có thể chuyển mã thông báo xác thực của mình từ Amazon Cognito vào một yêu cầu cấp phép chạy qua Quyền được xác minh. Điều này cho phép bạn chuyển trực tiếp các thuộc tính của nhà cung cấp danh tính vào đánh giá chính sách và từ đó đưa ra quyết định cấp phép do Quyền được xác minh tạo ra.
Tích hợp với AWS CloudFormation
Quyền được xác minh được tích hợp với CloudFormation, một dịch vụ giúp bạn mô hình hóa và thiết lập tài nguyên AWS của mình để bạn có thể dành ít thời gian hơn cho việc tạo và quản lý tài nguyên cũng như cơ sở hạ tầng của mình. Khi tạo một mẫu mô tả tất cả các tài nguyên AWS mà bạn mong muốn, CloudFormation sẽ cung cấp và định cấu hình các tài nguyên đó cho bạn.
Khả năng mở rộng
SDK Quyền được xác minh có sẵn khi sử dụng C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust và Swift.