Проверенные разрешения Amazon – это полностью управляемый сервис авторизации, который использует доказуемо правильный язык политик Cedar, позволяющий создавать более безопасные приложения. Благодаря Проверенным разрешениям разработчики могут быстрее создавать приложения с помощью внешней авторизации и централизации управления политиками. Они также могут привести авторизацию в приложении в соответствие с принципами нулевого доверия. Группы безопасности и аудита могут лучше анализировать и проверять, кто и к чему имеет доступ в приложениях.
Преимущества
Отделение авторизации от логики приложений
Ускорьте разработку приложений за счет отделения авторизации от бизнес-логики.
Защита ресурсов приложений
Защищайте ресурсы приложений и управляйте доступом пользователей по принципу наименьших привилегий.
Упрощение аудитов доступа к приложениям и ресурсам
Упростите масштабный аудит соответствия требованиям, используя автоматический анализ, чтобы убедиться, что разрешения, написанные в Cedar, работают должным образом.
Непрерывное принятие решений об авторизации в режиме реального времени
Создавайте приложения в соответствии с принципами Zero Trust, предусматривающими непрерывное принятие решений об авторизации в режиме реального времени.
Примеры использования
Определение точной модели авторизации
Создавайте политики на основе шаблонов и применяйте эти элементы управления в API шлюзе Amazon и AWS AppSync.
Предоставление точных разрешений в приложениях
Администраторы могут создавать политики для всего приложения, написанные Cedar, а разработчики – предоставлять пользователям разрешения на доступ к данным и ресурсам.
Аудит разрешений в приложениях
Проверяйте изменения модели политики Cedar и отслеживайте запросы на авторизацию при помощи проверенных разрешений.
Отзывы клиентов
TELUS
TELUS Communications – канадская национальная телекоммуникационная компания, предоставляющая широкий спектр телекоммуникационных продуктов и услуг, включая доступ к Интернету, голосовую связь, развлечения, видео и решения по безопасности. TELUS разрабатывает решение для умного жилья с учетом последних достижений облачных технологий для создания возможностей автоматизации на подключенных устройствах. Компания TELUS использует Проверенные разрешения Amazon для управления разрешениями к устройствам умного дома, таким как камеры и дверные замки. Например, клиент может определить разрешения, позволяющие соседу включать/выключать наружное освещение, но не отпирать главную дверь.
Мы никак не смогли бы создать механизм авторизации для своих сценариев использования домашней автоматизации и протестировать его в надежном состоянии за время, затраченное на внедрение управления разрешениями с помощью Проверенных разрешений Amazon.
Grosvenor Engineering Group контролирует портфель из 1,5 миллиарда активов, в том числе оборудование отопления, вентиляции и кондиционирования воздуха, пожарных и электрических систем в 45 000 зданий в Австралии и Новой Зеландии. Для эффективной и безопасной работы компания признала необходимость надежной системы авторизации для управления доступом к оборудованию в зданиях.
Одним из важнейших требований было обеспечение точного контроля, позволяющего техническим специалистам иметь доступ только к определенным зданиям или оборудованию в них. Такой подход повышает безопасность за счет ограничений, снижающих потенциальные риски. Они решили использовать Проверенные разрешения Amazon в качестве системы авторизации, поскольку это повысило уровень безопасности, обеспечило гибкость и масштабируемость.
Используя Cedar и Amazon Verified Permissions для решения своих сценариев использования, мы смогли достичь высокой производительности и обеспечить гибкость и масштабируемость, которые в долгосрочной перспективе оказались эффективными для нашего приложения. Наши затраты на переход были низкими благодаря модели ценообразования AVP, основанной на потреблении.
Stedi – это центр обмена информацией в сфере здравоохранения и платформа электронного обмена данными (EDI), дающая компаниям, которые занимаются технологиями в сфере здравоохранения, и другим организациям обмениваться важными данными, например заявками на медицинское страхование, проверками соответствия требованиям и многим другим. Stedi использует API шлюз Amazon для защиты доступа к конечным точкам, обрабатывающим транзакции. Шлюз API вызывает Проверенные разрешения Amazon для оценки политик авторизации, написанных на языке Cedar. Эти политики определяют, к каким конечным точкам API разрешен доступ конкретному пользователю.
Компания Stedi реализовала управление доступом на основе ролей (RBAC) в сжатые сроки, используя Проверенные разрешения Amazon. Благодаря пакетной обработке запросов на авторизацию и решений по кэшированию мы можем с минимальными затратами обрабатывать до 700 млн запросов в месяц почти без задержек.
Zack Kanter, основатель и генеральный директор, Stedi
Twilio
Twilio – это коммуникационная платформа как сервис, предоставляющая разработчикам инструменты для встраивания коммуникационных процессов в свои приложения по таким каналам, как голосовая связь, текст, чат, видео и электронная почта. Twilio Flex, цифровой продукт Twilio, позволяет компаниям управлять взаимодействием с клиентами на протяжении всего жизненного цикла от продаж до поддержки. Например, Flex можно развернуть как контакт-центр, куда клиенты смогут обращаться по разным каналам (чат, голосовая связь, электронная почта, текстовые сообщения) и связываться с нужными агентами для обработки их обращений. Поскольку Twilio Flex был запущен в 2019 году, команде потребовалось внедрить усовершенствованную систему авторизации, перейдя от первоначальной базовой ресурсно-ориентированной модели разрешений к удовлетворению более сложных требований к контролю доступа. Команда проанализировала различные подходы к авторизации и в конечном итоге выбрала Проверенные разрешения Amazon, чтобы удовлетворить потребности в детальных разрешениях при сохранении высокой доступности.
По мере развития Twilio Flex нам нужна была система авторизации, которая могла бы расти вместе с нами. Для грубого разграничения доступа мы используем токен, который предоставляет доступ к набору API в зависимости от роли. Затем мы используем Проверенные разрешения Amazon для управления более детальными разрешениями, сформулированными в политиках Cedar, которые определяют данные, к которым пользователь может получить доступ через эти API. Cedar позволяет нам экстернализировать логику авторизации, что упрощает нашу кодовую базу и повышает уровень безопасности. Выразительные возможности Cedar позволяют нам создавать политики, отвечающие уникальным потребностям наших клиентов. Архитектура AVP позволяет нам сочетать централизованный контроль аудита разрешений с распределенным принятием решений для обеспечения производительности и надежности.
Питер Лавель, главный инженер компании Twilio
FIS
Компания FIS, мировой лидер в области технологий финансовых услуг, ежегодно управляет платежами на сумму 50 триллионов долларов и обслуживает 80 % из 50 крупнейших страховых компаний мира с помощью ведущего отраслевого решения FIS Insurance Risk Suite – Prophet. Обслуживая 10 000 пользователей в 80 странах, команда FIS Prophet осознает необходимость надежной системы управления разрешениями для соответствия нормативным требованиям, таким как Sarbanes-Oxley, и предоставления детального контроля доступа страховым статистикам, лицам, утверждающим модели, и аудиторам.
Компания FIS создала комплексные платформы управления разрешениями для Prophet, используя Проверенные разрешения Amazon (AVP). Эта платформа разрешений обеспечивает детальное управление доступом, сочетая разрешения на основе ролей и атрибутов для повышения безопасности и обеспечения соответствия требованиям.
Используя Проверенные разрешения Amazon (AVP) и язык политик Cedar, мы можем определять разрешения извне и управлять всеми политиками централизованно. AVP обеспечивает понятные журналы аудита, регистрируя каждое действие с указанием, кто и когда его совершил, и надежно хранит все эти записи для проверки в случае необходимости.
