Permissões verificadas da Amazon e termos e conceitos da linguagem da política Cedar - Amazon Verified Permissions
Modelo de autorizaçãoSolicitação de autorizaçãoResposta de autorizaçãoPolíticas consideradasDados de contextoPolíticas determinantesDados da entidadePermissões, autorização e entidades principaisAplicação de políticasArmazenamentos de políticasApelido do repositório de políticasNome da políticaNome do modelo de políticaPolíticas atendidas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões verificadas da Amazon e termos e conceitos da linguagem da política Cedar

Você deve entender os seguintes conceitos para usar o Amazon Verified Permissions.

Conceitos do Verified Permissions

Conceitos da linguagem de política Cedar

Modelo de autorização

O modelo de autorização descreve o escopo das solicitações de autorização feitas pela aplicação e é a base para avaliar essas solicitações. Ele é definido com base nos diferentes tipos de recursos, das ações realizadas nesses recursos e dos tipos de entidades principais que realizam essas ações. Ele também considera o contexto em que essas ações estão sendo realizadas.

O controle de acesso baseado em função (RBAC) é uma base de avaliação na qual as funções são definidas e associadas a um conjunto de permissões. Essas funções podem, então, ser atribuídas a uma ou mais identidades. A identidade atribuída adquire as permissões associadas à função. Se as permissões associadas à função forem modificadas, a modificação afetará automaticamente qualquer identidade à qual a função tenha sido atribuída. O Cedar pode oferecer suporte às decisões do RBAC por meio do uso de grupos de entidades principais.

O controle de acesso baseado em função (RBAC) é uma base de avaliação na qual as permissões associadas a uma identidade são determinadas pelos atributos dessa identidade. O Cedar pode oferecer suporte às decisões do ABAC por meio do uso de condições de política que fazem referência aos atributos da entidade principal.

A linguagem de política Cedar permite a combinação do RBAC e do ABAC em uma única política, fazendo com que as permissões sejam definidas para um grupo de usuários, que têm condições baseadas em atributos.

Solicitação de autorização

Uma solicitação de autorização é uma solicitação feita ao Verified Permissions por uma aplicação para avaliar um conjunto de políticas, a fim de determinar se uma entidade principal pode realizar uma ação em um recurso para um determinado contexto.

Resposta de autorização

A resposta de autorização é a resposta à solicitação de autorização. Inclui uma decisão de permitir ou negar, além de informações adicionais, como IDs as políticas determinantes.

Políticas consideradas

As políticas consideradas são o conjunto completo de políticas selecionadas pelo Verified Permissions para inclusão ao avaliar uma solicitação de autorização.

Dados de contexto

Os dados de contexto são valores de atributos que fornecem informações adicionais a serem avaliadas.

Políticas determinantes

As políticas determinantes são aquelas que determinam a resposta da autorização. Por exemplo, se houver duas políticas atendidas, em que uma é a negação e a outra é a permissão, a política de negação será a política determinante. Se houver várias políticas de permissão atendidas e nenhuma política de proibição atendida, haverá várias políticas determinantes. Caso nenhuma política corresponda e a resposta seja uma negação, não haverá políticas determinantes.

Dados da entidade

Os dados da entidade são dados sobre a entidade principal, a ação e o recurso. Os dados de entidade relevantes para a avaliação da política são a associação ao grupo em toda a hierarquia de entidades e os valores de atributo da entidade principal e do recurso.

Permissões, autorização e entidades principais

O Verified Permissions gerencia permissões e autorizações refinadas nas aplicações personalizadas criadas por você.

A entidade principal é o usuário de uma aplicação, seja ele um ser humano ou uma máquina, que tem uma identidade vinculada a um identificador, como um nome de usuário ou um ID de máquina. O processo de autenticação determina se a entidade principal é, de fato, a identidade que afirma ser.

Associado a essa identidade está um conjunto de permissões de aplicação que determina o que essa entidade principal tem permissão para fazer nessa aplicação. A autorização é o processo de avaliação dessas permissões para determinar se uma entidade principal tem permissão para realizar uma ação específica na aplicação. Essas permissões podem ser expressas como políticas.

Aplicação de políticas

A aplicação da política é o processo de aplicar a decisão de avaliação na aplicação, fora do Verified Permissions. Se a avaliação do Verified Permissions retornar uma negação, a aplicação garantirá que a entidade principal foi impedida de acessar o recurso.

Armazenamentos de políticas

Um armazenamento de políticas é um contêiner de políticas e modelos. Cada armazenamento contém um esquema, que é usado para validar as políticas adicionadas ao armazenamento. Por padrão, cada aplicação tem seu próprio armazenamento de políticas, mas vários aplicações podem compartilhar um único armazenamento de políticas. Quando uma aplicação faz uma solicitação de autorização, ele identifica o armazenamento de políticas usado para avaliar essa solicitação. Os armazenamentos de políticas são uma maneira de isolar um conjunto de políticas e, portanto, podem ser usados em uma aplicação multilocatária para reter os esquemas e políticas de cada locatário. Uma única aplicação pode ter armazenamentos de políticas separados para cada locatário.

Ao avaliar uma solicitação de autorização, o Verified Permissions considera apenas o subconjunto das políticas contidas no armazenamento que são relevantes para a solicitação. A relevância é determinada com base no escopo da política. O escopo identifica a entidade principal e o recurso específicos aos quais a política se aplica, bem como as ações que a entidade principal pode realizar no recurso. A definição do escopo ajuda a melhorar o desempenho ao restringir o conjunto de políticas consideradas.

Apelido do repositório de políticas

Um alias de armazenamento de políticas é um nome amigável para um repositório de políticas. Você pode usar um alias de armazenamento de políticas para identificar um repositório de políticas em qualquer operação de Permissões Verificadas que aceite um policyStoreId parâmetro. Os aliases do repositório de políticas são AWS recursos independentes com seus próprios. ARNs Cada alias é associado a um repositório de políticas por vez, e vários aliases podem ser associados ao mesmo repositório de políticas. Para obter mais informações, consulte Aliases da loja de políticas de permissões verificadas da Amazon.

Nome da política

Um nome de política é um nome amigável opcional para uma política. Os nomes das políticas devem ser exclusivos para todas as políticas no repositório de políticas e prefixados comname/. Você pode usar um nome de política no lugar do ID da política em operações do plano de controle que aceitam um policyId parâmetro. Os nomes podem ser definidos ao criar ou atualizar uma política. Somente GetPolicy e ListPolicies retorne o nome na saída.

Nome do modelo de política

Um nome de modelo de política é um nome amigável opcional para um modelo de política. Os nomes dos modelos de política devem ser exclusivos para todos os modelos de política no repositório de políticas e prefixados comname/. Você pode usar um nome de modelo de política no lugar do ID do modelo de política em operações do plano de controle que aceitam um policyTemplateId parâmetro. Os nomes podem ser definidos ao criar ou atualizar um modelo de política. Somente GetPolicyTemplate e ListPolicyTemplates retorne o nome na saída.

Políticas atendidas

Políticas atendidas são as políticas que correspondem aos parâmetros da solicitação de autorização.