Проверенные разрешения Amazon

Полностью управляемый сервис Cedar для детальной авторизации

Проверенные разрешения: введение

Проверенные разрешения Amazon – это полностью управляемый сервис авторизации, который использует доказуемо правильный язык политик Cedar, позволяющий создавать более безопасные приложения. Благодаря Проверенным разрешениям разработчики могут быстрее создавать приложения с помощью внешней авторизации и централизации управления политиками. Они также могут привести авторизацию в приложении в соответствие с принципами нулевого доверия. Группы безопасности и аудита могут лучше анализировать и проверять, кто и к чему имеет доступ в приложениях.

Преимущества

Ускорьте разработку приложений за счет отделения авторизации от бизнес-логики.
Защищайте ресурсы приложений и управляйте доступом пользователей по принципу наименьших привилегий.

Упростите масштабный аудит соответствия требованиям, используя автоматический анализ, чтобы убедиться, что разрешения, написанные в Cedar, работают должным образом.

Создавайте приложения в соответствии с принципами Zero Trust, предусматривающими непрерывное принятие решений об авторизации в режиме реального времени.

Примеры использования

Создавайте политики на основе шаблонов и применяйте эти элементы управления в API шлюзе Amazon и AWS AppSync.

Администраторы могут создавать политики для всего приложения, написанные Cedar, а разработчики – предоставлять пользователям разрешения на доступ к данным и ресурсам.

Проверяйте изменения модели политики Cedar и отслеживайте запросы на авторизацию при помощи проверенных разрешений.

Отзывы клиентов

  • TELUS

    TELUS Communications – канадская национальная телекоммуникационная компания, предоставляющая широкий спектр телекоммуникационных продуктов и услуг, включая доступ к Интернету, голосовую связь, развлечения, видео и решения по безопасности. TELUS разрабатывает решение для умного жилья с учетом последних достижений облачных технологий для создания возможностей автоматизации на подключенных устройствах. Компания TELUS использует Проверенные разрешения Amazon для управления разрешениями к устройствам умного дома, таким как камеры и дверные замки. Например, клиент может определить разрешения, позволяющие соседу включать/выключать наружное освещение, но не отпирать главную дверь.

    Мы никак не смогли бы создать механизм авторизации для своих сценариев использования домашней автоматизации и протестировать его в надежном состоянии за время, затраченное на внедрение управления разрешениями с помощью Проверенных разрешений Amazon.

    Edwin Voskamp, инженер, TELUS
    Посмотреть видео »
  • Grosvenor Engineering Group

    Grosvenor Engineering Group контролирует портфель из 1,5 миллиарда активов, в том числе оборудование отопления, вентиляции и кондиционирования воздуха, пожарных и электрических систем в 45 000 зданий в Австралии и Новой Зеландии. Для эффективной и безопасной работы компания признала необходимость надежной системы авторизации для управления доступом к оборудованию в зданиях.

    Одним из важнейших требований было обеспечение точного контроля, позволяющего техническим специалистам иметь доступ только к определенным зданиям или оборудованию в них. Такой подход повышает безопасность за счет ограничений, снижающих потенциальные риски. Они решили использовать Проверенные разрешения Amazon в качестве системы авторизации, поскольку это повысило уровень безопасности, обеспечило гибкость и масштабируемость.

    Используя Cedar и Amazon Verified Permissions для решения своих сценариев использования, мы смогли достичь высокой производительности и обеспечить гибкость и масштабируемость, которые в долгосрочной перспективе оказались эффективными для нашего приложения. Наши затраты на переход были низкими благодаря модели ценообразования AVP, основанной на потреблении.

    Con Tsalikis, технический директор, Grosvenor Engineering Group
    Посмотрите это видео, чтобы узнать больше о том, как Grosvenor Engineering Group авторизует запрос для своего бессерверного приложения »
  • STEDI

    Stedi – это центр обмена информацией в сфере здравоохранения и платформа электронного обмена данными (EDI), дающая компаниям, которые занимаются технологиями в сфере здравоохранения, и другим организациям обмениваться важными данными, например заявками на медицинское страхование, проверками соответствия требованиям и многим другим. Stedi использует API шлюз Amazon для защиты доступа к конечным точкам, обрабатывающим транзакции. Шлюз API вызывает Проверенные разрешения Amazon для оценки политик авторизации, написанных на языке Cedar. Эти политики определяют, к каким конечным точкам API разрешен доступ конкретному пользователю.

    Компания Stedi реализовала управление доступом на основе ролей (RBAC) в сжатые сроки, используя Проверенные разрешения Amazon. Благодаря пакетной обработке запросов на авторизацию и решений по кэшированию мы можем с минимальными затратами обрабатывать до 700 млн запросов в месяц почти без задержек.

    Zack Kanter, основатель и генеральный директор, Stedi
  • Twilio

    Twilio – это коммуникационная платформа как сервис, предоставляющая разработчикам инструменты для встраивания коммуникационных процессов в свои приложения по таким каналам, как голосовая связь, текст, чат, видео и электронная почта. Twilio Flex, цифровой продукт Twilio, позволяет компаниям управлять взаимодействием с клиентами на протяжении всего жизненного цикла от продаж до поддержки. Например, Flex можно развернуть как контакт-центр, куда клиенты смогут обращаться по разным каналам (чат, голосовая связь, электронная почта, текстовые сообщения) и связываться с нужными агентами для обработки их обращений. Поскольку Twilio Flex был запущен в 2019 году, команде потребовалось внедрить усовершенствованную систему авторизации, перейдя от первоначальной базовой ресурсно-ориентированной модели разрешений к удовлетворению более сложных требований к контролю доступа. Команда проанализировала различные подходы к авторизации и в конечном итоге выбрала Проверенные разрешения Amazon, чтобы удовлетворить потребности в детальных разрешениях при сохранении высокой доступности.

    По мере развития Twilio Flex нам нужна была система авторизации, которая могла бы расти вместе с нами. Для грубого разграничения доступа мы используем токен, который предоставляет доступ к набору API в зависимости от роли. Затем мы используем Проверенные разрешения Amazon для управления более детальными разрешениями, сформулированными в политиках Cedar, которые определяют данные, к которым пользователь может получить доступ через эти API. Cedar позволяет нам экстернализировать логику авторизации, что упрощает нашу кодовую базу и повышает уровень безопасности. Выразительные возможности Cedar позволяют нам создавать политики, отвечающие уникальным потребностям наших клиентов. Архитектура AVP позволяет нам сочетать централизованный контроль аудита разрешений с распределенным принятием решений для обеспечения производительности и надежности.

    Питер Лавель, главный инженер компании Twilio
  • FIS

    Компания FIS, мировой лидер в области технологий финансовых услуг, ежегодно управляет платежами на сумму 50 триллионов долларов и обслуживает 80 % из 50 крупнейших страховых компаний мира с помощью ведущего отраслевого решения FIS Insurance Risk Suite – Prophet. Обслуживая 10 000 пользователей в 80 странах, команда FIS Prophet осознает необходимость надежной системы управления разрешениями для соответствия нормативным требованиям, таким как Sarbanes-Oxley, и предоставления детального контроля доступа страховым статистикам, лицам, утверждающим модели, и аудиторам.

    Компания FIS создала комплексные платформы управления разрешениями для Prophet, используя Проверенные разрешения Amazon (AVP). Эта платформа разрешений обеспечивает детальное управление доступом, сочетая разрешения на основе ролей и атрибутов для повышения безопасности и обеспечения соответствия требованиям.

    Используя Проверенные разрешения Amazon (AVP) и язык политик Cedar, мы можем определять разрешения извне и управлять всеми политиками централизованно. AVP обеспечивает понятные журналы аудита, регистрируя каждое действие с указанием, кто и когда его совершил, и надежно хранит все эти записи для проверки в случае необходимости.

    Ана Кошутич, инженер-программист компании FIS

Подробнее об AWS