Namespace-Definition Unterstützung von Richtlinienvorlagen Unterstützung von Schemas Unterstützung für Erweiterungstypen JSONCedar-Format für Entitäten Definition von Aktionsgruppen Formatierung von Entitäten Längen- und Größenbeschränkungen

Unterschiede zwischen Amazon Verified Permissions und der Sprache der Cedar-Richtlinie

Amazon Verified Permissions verwendet die Cedar Policy Language Engine, um seine Autorisierungsaufgaben auszuführen. Es gibt jedoch einige Unterschiede zwischen der systemeigenen Cedar-Implementierung und der Implementierung von Cedar in Verified Permissions. In diesem Thema werden diese Unterschiede beschrieben.

Namespace-Definition

Die Implementierung von Verified Permissions von Cedar unterscheidet sich von der nativen Cedar-Implementierung wie folgt:

Verified Permissions unterstützt nur einen Namespace in einem Schema, das in einem Richtlinienspeicher definiert ist.
Mit Verified Permissions können Sie keinen Namespace erstellen, der aus einer leeren Zeichenfolge besteht oder die folgenden Werte enthält: awsamazon, oder. cedar

Unterstützung von Richtlinienvorlagen

Sowohl Verified Permissions als auch Cedar erlauben Platzhalter im Gültigkeitsbereich nur für principal undresource. Verified Permissions setzt jedoch auch voraus, dass weder die noch die principal Rechte resource uneingeschränkt sind.

Die folgende Richtlinie ist in Cedar gültig, wird jedoch von Verified Permissions abgelehnt, da sie nicht eingeschränkt principal ist.


permit(principal, action == Action::"view", resource == ?resource);

Die beiden folgenden Beispiele sind sowohl für Cedar als auch für Verified Permissions gültig, da sowohl für als auch für Verified Permissions principal Einschränkungen resource gelten.


permit(principal == User::"alice", action == Action::"view", resource == ?resource);


permit(principal == ?principal, action == Action::"a", resource in ?resource);

Unterstützung von Schemas

Verified Permissions setzt voraus, dass alle Namen von JSON Schemaschlüsseln keine leeren Zeichenketten sind. Cedar erlaubt in einigen Fällen leere Zeichenfolgen, z. B. für Eigenschaften oder Namespaces.

Unterstützung für Erweiterungstypen

Verified Permissions unterstützt Cedar-Erweiterungstypen in Richtlinien, unterstützt derzeit jedoch nicht, sie über die Verified Permissions-Konsole in die Definition eines Schemas aufzunehmen.

Zu den Erweiterungstypen gehören die Datentypen Festpunkt (decimalipaddr) und IP-Adresse ().

JSONCedar-Format für Entitäten

Derzeit müssen Sie bei Verified Permissions die Liste der Entitäten, die in einer Autorisierungsanfrage berücksichtigt werden sollen, anhand der für die definierten Strukturen übergeben EntitiesDefinition, bei der es sich um eine Reihe von EntityItemElementen handelt. Verified Permissions unterstützt derzeit nicht die Weitergabe der Liste der Entitäten, die in einer Autorisierungsanfrage berücksichtigt werden sollen, im JSONCedar-Format. Spezifische Anforderungen für die Formatierung Ihrer Entitäten für die Verwendung in Verified Permissions finden Sie unterFormatierung von Entitäten.

Definition von Aktionsgruppen

Die Autorisierungsmethoden von Cedar erfordern eine Liste der Entitäten, die bei der Bewertung einer Autorisierungsanfrage anhand der Richtlinien berücksichtigt werden müssen.

Sie können die Aktionen und Aktionsgruppen, die von Ihrer Anwendung verwendet werden, im Schema definieren. Cedar nimmt das Schema jedoch nicht als Teil einer Evaluierungsanfrage auf. Stattdessen verwendet Cedar das Schema nur, um die von Ihnen eingereichten Richtlinien und Richtlinienvorlagen zu validieren. Da Cedar bei Bewertungsanfragen nicht auf das Schema verweist, selbst wenn Sie Aktionsgruppen im Schema definiert haben, müssen Sie auch die Liste aller Aktionsgruppen als Teil der Entitätenliste angeben, die Sie an die API Autorisierungsvorgänge übergeben müssen.

Verified Permissions erledigt das für Sie. Alle Aktionsgruppen, die Sie in Ihrem Schema definieren, werden automatisch an die Entitätsliste angehängt, an die Sie als Parameter für die IsAuthorized IsAuthorizedWithToken OR-Operationen übergeben.

Formatierung von Entitäten

Die JSON Formatierung von Entitäten in Verified Permissions unterscheidet sich in folgenden Punkten von Cedar:

In Verified Permissions müssen alle JSON Schlüssel-Wert-Paare eines Objekts in ein JSON Objekt mit dem Namen von eingeschlossen sein. Record
Eine JSON Liste in Verified Permissions muss in ein JSON Schlüssel-Wert-Paar eingeschlossen werden, wobei der Schlüsselname Set und der Wert die ursprüngliche JSON Liste von Cedar sind.
Bei Namen StringLong, und Boolean wird jedes Schlüssel-Wert-Paar aus Cedar durch ein JSON Objekt in Verified Permissions ersetzt. Der Name des Objekts ist der ursprüngliche Schlüsselname. Innerhalb des JSON Objekts gibt es ein Schlüssel-Wert-Paar, wobei der Schlüsselname der Typname des Skalarwerts (StringLong, oderBoolean) und der Wert der Wert aus der Cedar-Entität ist.

Die Syntaxformatierung von Cedar-Entitäten und Verified Permissions-Entitäten unterscheidet sich in folgenden Punkten:

Cedar-Format	Format für verifizierte Berechtigungen
`uid`	`Identifier`
`type`	`EntityType`
`id`	`EntityId`
`attrs`	`Attributes`
`parents`	`Parents`

Beispiel - Listen

Die folgenden Beispiele zeigen, wie eine Liste von Entitäten in Cedar bzw. Verified Permissions ausgedrückt wird.

Beispiel - Bewertung der Politik

Die folgenden Beispiele zeigen, wie Entitäten für die Auswertung einer Richtlinie in einer Autorisierungsanfrage in Cedar bzw. Verified Permissions formatiert werden.

Cedar


[
    {
        "uid": {
            "type": "PhotoApp::User",
            "id": "alice"
        },
        "attrs": {
            "age": 25,
            "name": "alice",
            "userId": "123456789012"
        },
        "parents": [
            {
                "type": "PhotoApp::UserGroup",
                "id": "alice_friends"
            },
            {
                "type": "PhotoApp::UserGroup",
                "id": "AVTeam"
            }
        ]
    },
    {
        "uid": {
            "type": "PhotoApp::Photo",
            "id": "vacationPhoto.jpg"
        },
        "attrs": {
            "private": false,
            "account": {
                "__entity": {
                    "type": "PhotoApp::Account",
                    "id": "ahmad"
                }
            }
        },
        "parents": []
    },
    {
        "uid": {
            "type": "PhotoApp::UserGroup",
            "id": "alice_friends"
        },
        "attrs": {},
        "parents": []
    },
    {
        "uid": {
            "type": "PhotoApp::UserGroup",
            "id": "AVTeam"
        },
        "attrs": {},
        "parents": []
    }
]

Verified Permissions


[
    {
        "Identifier": {
            "EntityType": "PhotoApp::User",
            "EntityId": "alice"
        },
        "Attributes": {
            "age": {
                "Long": 25
            },
            "name": {
                "String": "alice"
            },
            "userId": {
                "String": "123456789012"
            }
        },
        "Parents": [
            {
                "EntityType": "PhotoApp::UserGroup",
                "EntityId": "alice_friends"
            },
            {
                "EntityType": "PhotoApp::UserGroup",
                "EntityId": "AVTeam"
            }
        ]
    },
    {
        "Identifier": {
            "EntityType": "PhotoApp::Photo",
            "EntityId": "vacationPhoto.jpg"
        },
        "Attributes": {
            "private": {
                "Boolean": false
            },
            "account": {
                "EntityIdentifier": {
                    "EntityType": "PhotoApp::Account",
                    "EntityId": "ahmad"
                }
            }
        },
        "Parents": []
    },
    {
        "Identifier": {
            "EntityType": "PhotoApp::UserGroup",
            "EntityId": "alice_friends"
        },
        "Parents": []
    },
    {
        "Identifier": {
            "EntityType": "PhotoApp::UserGroup",
            "EntityId": "AVTeam"
        },
        "Parents": []
    }
]

Längen- und Größenbeschränkungen

Verified Permissions unterstützt die Speicherung in Form von Richtlinienspeichern für Ihr Schema, Ihre Richtlinien und Richtlinienvorlagen. Aufgrund dieser Speicherung legt Verified Permissions einige Längen- und Größenbeschränkungen fest, die für Cedar nicht relevant sind.

Object	Limit für verifizierte Berechtigungen (in Byte)	Zedernholzlimit
Größe der Police¹	10.000	None
Beschreibung der Online-Richtlinie	150	Gilt nicht für Cedar
Größe der Richtlinienvorlage	10.000	None
Größe des Schemas	100 000	None
Entitätstyp	200	None
Policy ID (Richtlinien-ID)	64	None
ID der Richtlinienvorlage	64	None
Entity-ID	200	None
ID des Richtlinienspeichers	64	Gilt nicht für Cedar

¹ In Verifizierte Berechtigungen gibt es eine Obergrenze für Richtlinien pro Richtlinienspeicher, die auf der Gesamtgröße der im Richtlinienspeicher erstellten Richtlinien, Aktionen und Ressourcen basiert. Die Gesamtgröße aller Richtlinien, die sich auf eine einzelne Ressource beziehen, darf 200.000 Byte nicht überschreiten. Bei Richtlinien, die mit Vorlagen verknüpft sind, wird die Größe der Richtlinienvorlage nur einmal gezählt, zuzüglich der Größe jedes Parametersatzes, der zur Instanziierung jeder mit der Vorlage verknüpften Richtlinie verwendet wird.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Begriffe und Konzepte

Dokumentverlauf