Amazon Verified Permissions

完全托管的 Cedar 服务，可实现细粒度授权

Verified Permissions 简介

Amazon Verified Permissions 是一种完全托管的授权服务，使用可证明正确的 Cedar 策略语言，使您可以构建更安全的应用程序。借助 Verified Permissions，开发人员可以通过外部化授权和集中化策略管理来更快地构建应用程序。他们还可以使应用程序内的授权与零信任原则保持一致。安全和审计团队可以更好地分析和审计谁有权访问应用程序中的内容。

优势

将授权与应用程序逻辑分离

通过将授权与业务逻辑分离，加快应用程序开发。

保护应用程序资源

保护应用程序资源并按照最小权限原则管理用户访问权限。

简化应用程序和资源访问审计

使用自动化分析来确认使用 Cedar 编写的权限是否按预期执行，从而大规模简化合规性审计工作。

持续、实时的授权决策

构建符合持续实时授权决策的零信任原则的应用程序。

工作原理

Amazon Verified Permissions 是一项完全托管的、与 Cedar 兼容的权限管理和精细授权服务，适用于您构建的应用程序。通过 Cedar（一种富有表现力、性能强且可分析的开源策略语言），开发人员和管理员可以使用角色和属性来定义基于策略的访问控制，从而实现更精细的环境感知型访问控制。

示意图显示了 Amazon Verified Permissions 如何为自定义应用程序提供精细权限管理和授权服务。

使用案例

定义精细授权模型

通过模板创建策略并在 Amazon API Gateway 和 AWS AppSync 内实施这些控制。

在应用程序内授予精细权限

管理员可以创建使用 Cedar 编写的应用程序级策略，而开发人员则可以授予用户访问数据和资源的权限。

跨应用程序审计权限

使用 Amazon Verified Permissions 审核 Cedar 策略模型的变化并监控授权请求。