使用 Amazon Verified Permissions 實作 PDP

Amazon Verified Permissions 是一種可擴展、精細的許可管理和授權服務，可用來實作政策決策點 (PDP)。作為政策引擎，它可以協助您的應用程式即時驗證使用者動作，並反白顯示過度特權或無效的許可。它透過外部化授權和集中化政策管理，協助您的開發人員更快速地建置更安全的應用程式。透過將授權邏輯與應用程式邏輯分開，已驗證許可支援政策解耦。

透過使用 Verified Permissions 在應用程式中實作 PDP 和實作最低權限和持續驗證，開發人員可以使其應用程式存取符合零信任原則。此外，安全與稽核團隊可以更妥善地分析和稽核哪些人員可存取應用程式中的資源。Verified Permissions 使用 Cedar，這是一種專用且安全優先的開放原始碼政策語言，根據角色型存取控制 (RBAC) 和屬性型存取控制 (ABAC) 來定義政策型存取控制，以實現更精細、更了解內容的存取控制。

已驗證的許可為 SaaS 應用程式提供一些有用的功能，例如能夠使用 Amazon Cognito、Google 和 Facebook 等多個身分提供者來啟用多租戶授權。另一個對 SaaS 應用程式特別有幫助的已驗證許可功能是支援每個租用戶的自訂角色。如果您要設計客戶關係管理 (CRM) 系統，一個租戶可能會根據一組特定條件，依銷售機會定義存取的精細程度。另一個租戶可能有另一個定義。Verified Permissions 中的基礎許可系統可以支援這些變化，這使其成為 SaaS 使用案例的理想候選者。已驗證的許可也支援撰寫適用於所有租用戶的政策，因此套用護欄政策以防止以 SaaS 提供者身分進行未經授權的存取非常簡單。

為什麼要使用 Verified Permissions？

搭配 Amazon Cognito 等身分提供者使用 Verified Permissions，為您的應用程式提供更動態、以政策為基礎的存取管理解決方案。您可以建置應用程式，協助使用者共享資訊並協同合作，同時維護其資料的安全性、機密性和隱私權。Verified Permissions 為您提供精細的授權系統，根據身分和資源的角色和屬性強制執行存取權，有助於降低營運成本。您可以定義政策模型、在中央位置建立和存放政策，以及以毫秒為單位評估存取請求。

在已驗證的許可中，您可以使用稱為 Cedar 的簡單、人類可讀取宣告語言來表達許可。無論每個團隊的應用程式使用何種程式設計語言，都可以在團隊之間共用以 Cedar 撰寫的政策。

使用 Verified Permissions 時應考量的事項

在已驗證的許可中，您可以建立政策並將其自動化，做為佈建的一部分。您也可以在執行時間建立政策，做為應用程式邏輯的一部分。最佳實務是，當您建立政策做為租戶加入和佈建的一部分時，您應該使用持續整合和持續部署 (CI/CD) 管道來管理、修改和追蹤政策版本。或者，應用程式可以管理、修改和追蹤政策版本；不過，應用程式邏輯本身不會執行此功能。若要在您的應用程式中支援這些功能，您必須明確設計您的應用程式以實作此功能。

如果需要從其他來源提供外部資料以達到授權決策，則必須擷取此資料，並在授權請求中提供給 Verified Permissions。此服務預設不會擷取其他內容、實體和屬性。