View a markdown version of this page

Sicherheit und Sandbox in Apps in Quick - Amazon Quick
AuthentifizierungAutorisierungsebenenModell der Zustimmung zur IntegrationSandbox-Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit und Sandbox in Apps in Quick

Apps in Quick erbt die Authentifizierung und Autorisierung der Enterprise-Klasse von Amazon Quick. Benutzer greifen über ihre bestehende Quick Identity auf Apps zu, und jede App läuft in einem sicheren Sandbox-Iframe.

Authentifizierung

  • Single Sign-On — Benutzer authentifizieren sich über den Identitätsanbieter ihrer Organisation (SSO, Active Directory, IAM) über Quick. Es sind keine zusätzlichen Anmeldeinformationen erforderlich.

  • Sitzungssicherheit — Alle App-Interaktionen werden innerhalb einer authentifizierten Quick-Sitzung ausgeführt. Tokens werden automatisch von der Plattform verwaltet.

Autorisierungsebenen

Ebene Was es kontrolliert
Zugriff auf Apps Wer kann die App ansehen oder bearbeiten (wird vom App-Besitzer beim Teilen festgelegt)
Genehmigung der Integration Auf welche Konnektoren, Bereiche und Dashboards die App zugreifen kann (vom Autor beim Authoring festgelegt)
Laufzeitberechtigungen Welche Daten und Aktionen stehen dem Betrachter auf der Grundlage seiner eigenen Schnellberechtigungen zur Verfügung
Konnektor-Authentifizierung Wie authentifiziert sich der Connector mit der externen API (vom Administrator konfiguriert)
Wichtig

App-Betrachter können nur auf Daten zugreifen, für deren Anzeige sie bereits in Quick autorisiert sind. Durch das Einbetten eines visuellen Dashboards werden die Sicherheit auf Zeilenebene oder die Berechtigungen auf Spaltenebene nicht umgangen.

Wenn die Apps in Quick Agent Ihrer App eine Integration hinzufügen (Action Connector, Space, Dashboard-Grafik oder KI-Inferenz), werden Sie zur Genehmigung aufgefordert. Dieses Zustimmungsmodell gewährleistet:

  • Sie wissen genau, welche externen Anrufe Ihre App tätigt.

  • Sie haben die Kontrolle über die LESE- und Schreibberechtigungen.

  • Die veröffentlichte App enthält niemals nicht genehmigte Integrationen.

  • App-Betrachter erben den genehmigten Integrationsumfang, nicht den breiteren Zugriff.

Sandbox-Einschränkungen

Alle Apps in Quick App werden in einem Sandbox-Iframe mit strengen Sicherheitsrichtlinien ausgeführt. Die Sandbox erlaubt nur die Ausführung von Skripten. Alle anderen Funktionen (Navigation, Popups, direkter Netzwerkzugriff) sind eingeschränkt.

  • Linknavigation — Apps können externe URLs nicht direkt öffnen. Benutzer können Links folgen, indem sie Cmd+Klick (macOS) oder Strg+Klick (Windows) drücken.

  • Externe Ressourcen — Die Inhaltssicherheitsrichtlinie blockiert das Laden von Bildern, Skripten, Schriften und anderen Inhalten von externen Servern. Verwenden Sie Inline-SVG-Grafiken, Base64-encoded Bilddaten oder Bilddateien, die aus einem Amazon Quick Space geladen wurden.

  • Netzwerkanfragen — App-Code kann keine direkten HTTP-Anfragen an externe Server stellen. Die gesamte Kommunikation mit externen Systemen erfolgt über die Secure Bridge-API oder einen registrierten Action-Connector.

  • Dateidownloads — Dateidownloads müssen die downloadFile Funktion der Apps in der Quick Runtime-Bibliothek verwenden.