View a markdown version of this page

Sécurité et sandbox dans les applications dans Quick - Amazon Quick
AuthentificationCouches d'autorisationModèle de consentement à l'intégrationRestrictions relatives au sandbox

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité et sandbox dans les applications dans Quick

Apps in Quick hérite de l'authentification et de l'autorisation professionnelles d'Amazon Quick. Les utilisateurs accèdent aux applications via leur identité Quick existante, et chaque application s'exécute dans un iframe sandbox sécurisé.

Authentification

  • Authentification unique : les utilisateurs s'authentifient via le fournisseur d'identité de leur organisation (SSO, Active Directory, IAM) via Quick. Aucune information d'identification supplémentaire n'est requise.

  • Sécurité des sessions : toutes les interactions avec les applications s'exécutent dans le cadre d'une session rapide authentifiée. Les jetons sont gérés automatiquement par la plateforme.

Couches d'autorisation

Couche Ce qu'il contrôle
Accès à l'application Qui peut consulter ou modifier l'application (défini par le propriétaire de l'application lors du partage)
Approbation de l'intégration À quels connecteurs, espaces et tableaux de bord l'application peut accéder (définis par l'auteur lors de la création)
Autorisations d'exécution Quelles données et actions sont disponibles pour le spectateur en fonction de ses propres autorisations rapides
Authentification du connecteur Comment le connecteur s'authentifie auprès de l'API externe (configuré par l'administrateur)
Important

Les utilisateurs de l'application ne peuvent accéder qu'aux données qu'ils sont déjà autorisés à voir dans Quick. L'intégration d'un visuel de tableau de bord ne contourne pas la sécurité au niveau des lignes ou les autorisations au niveau des colonnes.

Lorsque les applications de Quick agent ajoutent une intégration à votre application (connecteur d'action, espace, visuel du tableau de bord ou inférence basée sur l'IA), elles vous demandent leur approbation. Ce modèle de consentement garantit :

  • Vous savez exactement quels sont les appels externes effectués par votre application.

  • Vous contrôlez les autorisations READ et WRITE.

  • L'application publiée n'inclut jamais d'intégrations non approuvées.

  • Les utilisateurs de l'application héritent de l'étendue d'intégration approuvée, et non d'un accès élargi.

Restrictions relatives au sandbox

Toutes les applications de l'application Quick s'exécutent dans un iframe sandbox soumis à des politiques de sécurité strictes. Le sandbox permet uniquement l'exécution de scripts. Toutes les autres fonctionnalités (navigation, fenêtres contextuelles, accès direct au réseau) sont limitées.

  • Navigation par lien : les applications ne peuvent pas ouvrir directement les URL externes. Les utilisateurs peuvent suivre les liens en appuyant sur Cmd+Click (macOS) ou Ctrl+Click (Windows).

  • Ressources externes : la politique de sécurité du contenu bloque le chargement d'images, de scripts, de polices et d'autres ressources à partir de serveurs externes. Utilisez des graphiques SVG intégrés, des données Base64-encoded d'image ou des fichiers image chargés depuis un espace Amazon Quick.

  • Demandes réseau : le code de l'application ne peut pas envoyer de requêtes HTTP directes à des serveurs externes. Toutes les communications avec les systèmes externes passent par l'API Secure Bridge ou par un connecteur d'action enregistré.

  • Téléchargements de fichiers — Les téléchargements de fichiers doivent utiliser la downloadFile fonction des applications de la bibliothèque Quick Runtime.