Amazon Verified Permissions での認可の実装

アプリケーション UX へのユーザーアクセスを制御します。ユーザーがアクセスする必要がある正確なフォーム、ボタン、グラフィック、その他のリソースのみを表示することを許可できます。たとえば、ユーザーがサインインすると、「資金の移管」ボタンがアカウントに表示されるかどうかを判断できます。ユーザーが実行できるアクションを制御することもできます。たとえば、同じバンキングアプリで、ユーザーがトランザクションのカテゴリの変更を許可されているかどうかを判断できます。

データへのユーザーアクセスを制御します。アプリケーションは多くの場合、分散システムの一部であり、外部 APIs。Verified Permissions が「送金資金」ボタンの表示を許可した銀行アプリの例では、ユーザーが送金を開始するときに、より複雑な認可決定を行う必要があります。Verified Permissions は、対象となる移管先アカウントを一覧表示する API リクエストを承認し、次に移管を他のアカウントにプッシュするリクエストを承認できます。

IsAuthorized API オペレーションは、Verified Permissions を使用した認可リクエストへのエントリポイントです。プリンシパル、アクション、リソース、コンテキスト、エンティティの各要素を送信する必要があります。Verified Permissions は、リクエスト内のエンティティに適用されるリクエストされたポリシーストア内のすべてのポリシーに対してリクエストを評価します。

IsAuthorizedWithToken オペレーションは、JSON ウェブトークン (JWTs) のユーザーデータから認可リクエストを生成します。Verified Permissions は、ポリシーストアの ID ソースとして Amazon Cognito などの OIDC プロバイダーと直接連携します。Verified Permissions は、ユーザーの ID トークンまたはアクセストークンのクレームからリクエストのすべての属性をプリンシパルに入力します。ID ソースのユーザー属性またはグループメンバーシップからアクションとリソースを承認できます。

IsAuthorizedWithToken リクエストにグループまたはユーザープリンシパルタイプに関する情報を含めることはできません。すべてのプリンシパルデータを、指定した JWT に入力する必要があります。

BatchIsAuthorized オペレーションは、1 つの API リクエストで 1 つのプリンシパルまたはリソースに対して複数の認可決定を処理します。このオペレーションは、クォータの使用を最小限に抑え、最大 30 個の複雑なネストされたアクションごとに認可決定を返す 1 つのバッチオペレーションにリクエストをグループ化します。単一のリソースのバッチ認可を使用すると、ユーザーがリソースに対して実行できるアクションをフィルタリングできます。単一のプリンシパルのバッチ認可を使用すると、ユーザーがアクションを実行できるリソースをフィルタリングできます。

BatchIsAuthorizedWithToken オペレーションは、1 つの API リクエストで 1 つのプリンシパルに対して複数の承認決定を処理します。プリンシパルは、ポリシーストア ID ソースによって ID またはアクセストークンで提供されます。このオペレーションは、クォータの使用を最小限に抑え、アクションとリソースに対する最大 30 個のリクエストごとに認可決定を返す単一のバッチオペレーションにリクエストをグループ化します。ポリシーでは、属性またはユーザーディレクトリのグループメンバーシップからのアクセスを許可できます。

と同様にIsAuthorizedWithToken、グループまたはユーザープリンシパルタイプに関する情報をBatchIsAuthorizedWithTokenリクエストに含めることはできません。すべてのプリンシパルデータを、指定した JWT に入力する必要があります。