Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad y entorno aislado en las aplicaciones de Quick
Apps in Quick hereda la autenticación y autorización de nivel empresarial de Amazon Quick. Los usuarios acceden a las aplicaciones a través de su identidad Quick existente, y todas las aplicaciones se ejecutan dentro de un iframe seguro y aislado.
Autenticación
-
Inicio de sesión único: los usuarios se autentican mediante el proveedor de identidad de su organización (SSO, Active Directory, IAM) mediante Quick. No se necesitan credenciales adicionales.
-
Seguridad de sesión: todas las interacciones entre aplicaciones se ejecutan en una sesión rápida autenticada. La plataforma administra los tokens automáticamente.
Capas de autorización
| Capa | Qué controla |
|---|---|
| Acceso a las aplicaciones | Quién puede ver o editar la aplicación (lo establece el propietario de la aplicación al compartirla) |
| Aprobación de la integración | A qué conectores, espacios y paneles puede acceder la aplicación (establecidos por el autor durante la creación) |
| Permisos de ejecución | ¿Qué datos y acciones están disponibles para el espectador en función de sus propios permisos rápidos |
| Autenticación del conector | Cómo se autentica el conector con la API externa (configurada por el administrador) |
| Acceso público | Si los espectadores anónimos pueden acceder a la aplicación sin iniciar sesión (lo establece el propietario de la aplicación al compartir; solo para las cuentas Free y Plus) |
importante
Los espectadores de la aplicación solo pueden acceder a los datos que ya estén autorizados a ver en Quick. La incrustación de una imagen de panel no omite los permisos de seguridad a nivel de fila o de columna.
Modelo de consentimiento de integración
Cuando las aplicaciones de Quick Agent añaden una integración a tu aplicación (conector de acciones, espacio, imagen de panel o inferencia de IA), te solicitarán tu aprobación. Este modelo de consentimiento garantiza:
-
Sabes exactamente qué llamadas externas realiza tu aplicación.
-
Tú controlas los permisos de LECTURA y ESCRITURA.
-
La aplicación publicada nunca incluye integraciones no aprobadas.
-
Los espectadores de la aplicación heredan el ámbito de integración aprobado, no un acceso más amplio.
Restricciones de sandbox
Todas las aplicaciones de Quick App se ejecutan dentro de un iframe aislado con políticas de seguridad estrictas. El sandbox solo permite la ejecución de scripts. Todas las demás funciones (navegación, ventanas emergentes, acceso directo a la red) están restringidas.
-
Navegación por enlaces: las aplicaciones no pueden abrir direcciones URL externas directamente. Los usuarios pueden seguir los enlaces pulsando Cmd+Click (macOS) o Ctrl+Click (Windows).
-
Recursos externos: la política de seguridad del contenido bloquea la carga de imágenes, scripts, fuentes y otros activos desde servidores externos. Usa gráficos SVG integrados, datos de Base64-encoded imagen o archivos de imagen cargados desde un espacio de Amazon Quick.
-
Solicitudes de red: el código de la aplicación no puede realizar solicitudes HTTP directas a servidores externos. Todas las comunicaciones con los sistemas externos se realizan a través de la API Secure Bridge o de un conector de acción registrado.
-
Descargas de archivos: las descargas de archivos deben utilizar la
downloadFilefunción de las aplicaciones de la biblioteca Quick Runtime. -
Aislamiento de aplicaciones públicas: las aplicaciones públicas se ejecutan en el mismo entorno limitado que las aplicaciones privadas, pero no pueden acceder a los conectores de acción, a las imágenes integradas, a las experiencias de chat integradas ni a los espacios rápidos de Amazon. Solo el almacenamiento compartido y la inferencia mediante IA están disponibles para los espectadores anónimos.
Seguridad de aplicaciones públicas
Las aplicaciones públicas permiten el acceso anónimo sin autenticación. Se aplican las siguientes medidas de seguridad:
-
Sin identidad: los espectadores anónimos no tienen identidad de usuario. La API de identidad de usuario devuelve valores nulos para los espectadores públicos.
-
Sin almacenamiento privado: los espectadores anónimos no pueden acceder al almacenamiento privado. Solo está disponible el almacenamiento compartido.
-
Sin integraciones: las aplicaciones públicas no pueden usar conectores de acción, imágenes integradas, experiencias de chat integradas ni Amazon Quick Spaces.
-
Limitación de velocidad: las solicitudes de inferencia de inteligencia artificial de las aplicaciones públicas tienen una frecuencia limitada para evitar abusos. El uso se deduce de la cuota de suscripción del propietario de la aplicación.
-
El mismo entorno aislado: las aplicaciones públicas se ejecutan en el mismo iframe aislado con la misma política de seguridad de contenido que las aplicaciones privadas.