View a markdown version of this page

Seguridad y entorno aislado en las aplicaciones de Quick - Amazon Quick
AutenticaciónCapas de autorizaciónModelo de consentimiento de integraciónRestricciones de sandbox

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad y entorno aislado en las aplicaciones de Quick

Apps in Quick hereda la autenticación y autorización de nivel empresarial de Amazon Quick. Los usuarios acceden a las aplicaciones a través de su identidad Quick existente, y todas las aplicaciones se ejecutan dentro de un iframe seguro y aislado.

Autenticación

  • Inicio de sesión único: los usuarios se autentican mediante el proveedor de identidad de su organización (SSO, Active Directory, IAM) mediante Quick. No se necesitan credenciales adicionales.

  • Seguridad de la sesión: todas las interacciones de la aplicación se ejecutan en una sesión rápida autenticada. La plataforma administra los tokens automáticamente.

Capas de autorización

Capa Qué controla
Acceso a las aplicaciones Quién puede ver o editar la aplicación (lo establece el propietario de la aplicación al compartirla)
Aprobación de la integración A qué conectores, espacios y paneles puede acceder la aplicación (establecidos por el autor durante la creación)
Permisos de ejecución ¿Qué datos y acciones están disponibles para el espectador en función de sus propios permisos rápidos
Autenticación del conector Cómo se autentica el conector con la API externa (configurada por el administrador)
importante

Los espectadores de aplicaciones solo pueden acceder a los datos que ya están autorizados a ver en Quick. La incrustación de una imagen de panel no omite los permisos de seguridad a nivel de fila o de columna.

Cuando las aplicaciones de Quick Agent añaden una integración a tu aplicación (conector de acciones, espacio, imagen de panel o inferencia de IA), te solicitarán tu aprobación. Este modelo de consentimiento garantiza:

  • Sabes exactamente qué llamadas externas realiza tu aplicación.

  • Tú controlas los permisos de LECTURA y ESCRITURA.

  • La aplicación publicada nunca incluye integraciones no aprobadas.

  • Los espectadores de la aplicación heredan el ámbito de integración aprobado, no un acceso más amplio.

Restricciones de sandbox

Todas las aplicaciones de Quick App se ejecutan dentro de un iframe aislado con políticas de seguridad estrictas. El sandbox solo permite la ejecución de scripts. Todas las demás funciones (navegación, ventanas emergentes, acceso directo a la red) están restringidas.

  • Navegación por enlaces: las aplicaciones no pueden abrir direcciones URL externas directamente. Los usuarios pueden seguir los enlaces pulsando Cmd+Click (macOS) o Ctrl+Click (Windows).

  • Recursos externos: la política de seguridad del contenido bloquea la carga de imágenes, scripts, fuentes y otros activos desde servidores externos. Usa gráficos SVG integrados, datos de Base64-encoded imagen o archivos de imagen cargados desde un espacio de Amazon Quick.

  • Solicitudes de red: el código de la aplicación no puede realizar solicitudes HTTP directas a servidores externos. Toda la comunicación con los sistemas externos se realiza a través de la API de Secure Bridge o de un conector de acción registrado.

  • Descargas de archivos: las descargas de archivos deben utilizar la downloadFile función de las aplicaciones de la biblioteca Quick Runtime.