Características de Amazon Verified Permissions

Con la compatibilidad con Cedar, puede definir su esquema en términos de cada tipo de entidad, incluidos los atributos relevantes para el modelo de autorización y las combinaciones válidas de tipos principales, tipos de recursos y acciones. Verified Permissions utiliza el esquema para validar que una política estática o plantilla de política estática sea coherente con el modelo de autorización de la aplicación. Puedes usar JSON para definir un esquema en Verified Permissions. Guarda cierto parecido con el esquema JSON, pero utiliza aspectos exclusivos del lenguaje de la política Cedar. Puede definir grupos de acciones en su esquema, que son políticas que permiten o prohíben grupos de acciones.

Conecte su aplicación al servicio mediante la API para autorizar las solicitudes de acceso de los usuarios. Para cada solicitud de autorización, el servicio recupera las políticas pertinentes y evalúa esas políticas basadas en Cedar para determinar si un usuario puede realizar una acción en un recurso en función de las entradas de contexto, como los usuarios, los roles, la pertenencia a un grupo y los atributos.

Un almacén de políticas es un contenedor de políticas basadas en Cedar en Verified Permissions que está aislado de forma lógica de otros contenedores. Puede crear todas sus relaciones y configuraciones jerárquicas en un único almacén de políticas para distinguir las políticas y plantillas de políticas de otros almacenes de políticas. Por lo general, los almacenes de políticas se asignan a cada aplicación y permiten crear diferentes configuraciones y reglas de esquema en varias cuentas sin compartirse ni conectarse entre ellas. Por ejemplo, podría tener un almacén de políticas independiente para cada cuenta que utilice una aplicación de Verified Permissions; puede eliminar el almacén de políticas de una cuenta sin afectar a los recursos, los esquemas, las políticas y las plantillas de políticas de ningún otro almacén de políticas.

El banco de pruebas es una herramienta para probar y solucionar problemas de las políticas de permisos verificados mediante la ejecución de una solicitud de autorización simulada en todas las políticas basadas en Cedar de su almacén de políticas. El banco de pruebas utiliza los parámetros que especifique para determinar si las políticas de su almacén de políticas autorizarían la solicitud.

Puede usar una plantilla de política, que es una declaración de política basada en Cedar con marcadores de posición en el ámbito que deben rellenarse con valores específicos. Una plantilla de política puede tener marcadores de posición para la entidad principal, el recurso o ambos. Las actualizaciones de la plantilla de políticas se reflejan en todos las entidades principales y recursos que utilizan la plantilla, también conocida como política vinculada a plantillas.

Recomendamos utilizar plantillas de políticas para crear políticas basadas en Cedar que se puedan compartir en toda la aplicación. Por ejemplo, puede crear una plantilla de política para un editor que proporcione permisos de lectura, edición y comentario para la entidad principal y el recurso que utilizan la plantilla de política. También puede usar plantillas de políticas para definir controles de acceso gruesos, medianos y detallados para sus aplicaciones. Por ejemplo, puede utilizar plantillas de políticas para asignar usuarios específicos a un grupo, controles intermedios para asignar el acceso a recursos específicos y controles detallados para los atributos más específicos de los recursos.

Con las API de Verified Permissions, puede ejecutar consultas específicas sobre las políticas almacenadas en Verified Permissions. Puede consultar sus políticas para determinar cuáles se aplican a entidades principales específicas, recursos específicos o ambos.

Puede configurar y conectar Verified Permissions para enviar sus registros de administración y autorización de políticas a AWS CloudTrail.

Puede pasar su token de autenticación de Amazon Cognito a una solicitud de autorización que se ejecute mediante Verified Permissions. Esto le permite pasar directamente por los atributos del proveedor de identidades a una evaluación de políticas y, por lo tanto, a una decisión de autorización generada por Verified Permissions.

Verified Permissions se integra con CloudFormation, un servicio que lo ayuda a modelar y configurar sus recursos de AWS para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Usted crea una plantilla que describe todos los recursos de AWS que desea, y CloudFormation aprovisiona y configura esos recursos por usted.

El SDK de Verified Permissions está disponible en C++, Go, Java, JavaScript, Kotlin, .NET, Node.js, PHP, Python, Ruby, Rust y Swift.

Permite a los desarrolladores proteger las API a través de Amazon API Gateway mediante un asistente de inicio rápido que simplifica la implementación del control de acceso basado en roles (RBAC).

Permite a los desarrolladores de aplicaciones web con Express implementar autorización a nivel de API con Amazon Verified Permissions con solo agregar una mínima cantidad de código a sus aplicaciones existentes.