本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
快速應用程式中的安全性和沙盒
Quick 中的應用程式會繼承 Amazon Quick 的企業級身分驗證和授權。使用者透過現有的快速身分存取應用程式,而每個應用程式都會在安全的沙盒化 iframe 內執行。
身分驗證
-
單一登入 — 使用者透過其組織的身分提供者 (SSO、Active Directory、IAM) 透過 Quick 進行身分驗證。不需要額外的登入資料。
-
工作階段安全性 — 所有應用程式互動都會在已驗證的 Quick 工作階段中執行。權杖是由 平台自動管理。
授權層
| Layer | 它控制的內容 |
|---|---|
| 應用程式存取 | 誰可以檢視或編輯應用程式 (由應用程式擁有者在共用時設定) |
| 整合核准 | 應用程式可存取的連接器、空間和儀表板 (作者在撰寫期間設定) |
| 執行時間許可 | 根據檢視器自己的快速許可,他們可以使用哪些資料和動作 |
| 連接器身分驗證 | 連接器如何使用外部 API 進行身分驗證 (由管理員設定) |
重要
應用程式檢視器只能存取已獲授權可在 Quick 中查看的資料。內嵌儀表板視覺效果不會略過資料列層級安全性或資料欄層級許可。
整合同意模型
當快速代理程式中的應用程式新增整合到您的應用程式 (動作連接器、空間、儀表板視覺效果或 AI 推論) 時,它會提示您進行核准。此同意模型可確保:
-
您確切知道應用程式發出哪些外部呼叫。
-
您可以控制讀取與寫入許可。
-
發佈的應用程式絕不會包含未經核准的整合。
-
應用程式檢視器會繼承核准的整合範圍,而不是更廣泛的存取。
沙盒限制
快速應用程式中的每個應用程式都會在具有嚴格安全政策的沙盒化 iframe 內執行。沙盒僅允許指令碼執行。所有其他功能 (導覽、快顯視窗、直接網路存取) 都會受到限制。
-
連結導覽 — 應用程式無法直接開啟外部 URLs。使用者可按 Cmd+Click (macOS) 或 Ctrl+Click (Windows) 追蹤連結。
-
外部資源 — 內容安全政策會封鎖從外部伺服器載入映像、指令碼、字型和其他資產。使用內嵌 SVG 圖形、Base64-encoded的影像資料,或從 Amazon Quick 空間載入的影像檔案。
-
網路請求 — 應用程式碼無法對外部伺服器提出直接 HTTP 請求。與外部系統的所有通訊都會經過安全橋接 API 或已註冊的動作連接器。
-
檔案下載 — 檔案下載必須使用快速執行時間程式庫中應用程式的
downloadFile函數。
