Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza e sandbox nelle app in Quick
Le app in Quick ereditano l'autenticazione e l'autorizzazione di livello aziendale di Amazon Quick. Gli utenti accedono alle app tramite la loro identità Quick esistente e ogni app viene eseguita all'interno di un iframe sicuro in modalità sandbox.
Autenticazione
-
Single Sign-on: gli utenti si autenticano tramite il provider di identità dell'organizzazione (SSO, Active Directory, IAM) tramite Quick. Non sono necessarie credenziali aggiuntive.
-
Sicurezza della sessione: tutte le interazioni con l'app vengono eseguite all'interno di una sessione Quick autenticata. I token vengono gestiti automaticamente dalla piattaforma.
Livelli di autorizzazione
| Livello | Cosa controlla |
|---|---|
| Accesso all'app | Chi può visualizzare o modificare l'app (impostato dal proprietario dell'app durante la condivisione) |
| Approvazione dell'integrazione | A quali connettori, spazi e dashboard può accedere l'app (impostati dall'autore durante la creazione) |
| Autorizzazioni di runtime | Quali dati e azioni sono disponibili per lo spettatore in base alle proprie autorizzazioni rapide |
| Autenticazione del connettore | In che modo il connettore si autentica con l'API esterna (configurata dall'amministratore) |
| Accesso pubblico | Se gli spettatori anonimi possono accedere all'app senza effettuare l'accesso (impostazione impostata dal proprietario dell'app durante la condivisione; solo account Free e Plus) |
Importante
Gli utenti dell'app possono accedere solo ai dati che sono già autorizzati a visualizzare in Quick. L'incorporamento di una visualizzazione della dashboard non aggira le autorizzazioni di sicurezza a livello di riga o a livello di colonna.
Modello di consenso all'integrazione
Quando le app in Quick agent aggiungono un'integrazione alla tua app (action connector, space, dashboard visual o inferenza AI), ti viene richiesta l'approvazione. Questo modello di consenso garantisce:
-
Sai esattamente quali chiamate esterne effettua la tua app.
-
Sei tu a controllare le autorizzazioni READ e WRITE.
-
L'app pubblicata non include mai integrazioni non approvate.
-
I visualizzatori di app ereditano l'ambito di integrazione approvato, non un accesso più ampio.
Restrizioni relative alla sandbox
Tutte le app dell'app Quick vengono eseguite all'interno di un iframe in modalità sandbox con rigorose politiche di sicurezza. La sandbox consente solo l'esecuzione di script. Tutte le altre funzionalità (navigazione, popup, accesso diretto alla rete) sono limitate.
-
Navigazione tramite link: le app non possono aprire direttamente URL esterni. Gli utenti possono seguire i collegamenti premendo Cmd+clic (macOS) o Ctrl+clic (Windows).
-
Risorse esterne: la Content Security Policy blocca il caricamento di immagini, script, caratteri e altre risorse da server esterni. Usa grafica SVG in linea, dati di Base64-encoded immagine o file di immagine caricati da uno spazio Amazon Quick.
-
Richieste di rete: il codice dell'app non può effettuare richieste HTTP dirette a server esterni. Tutte le comunicazioni con sistemi esterni passano attraverso l'API Secure Bridge o un connettore di azione registrato.
-
Download di file: i download di file devono utilizzare la
downloadFilefunzione delle app nella libreria Quick runtime. -
Isolamento delle app pubbliche: le app pubbliche vengono eseguite nella stessa sandbox delle app private ma non possono accedere ai connettori di azione, agli elementi visivi incorporati, alle esperienze di chat integrate o agli spazi Amazon Quick. Solo l'archiviazione condivisa e l'inferenza AI sono disponibili per gli spettatori anonimi.
Sicurezza delle app pubbliche
Le app pubbliche consentono l'accesso anonimo senza autenticazione. Si applicano le seguenti misure di sicurezza:
-
Nessuna identità: gli spettatori anonimi non hanno un'identità utente. L'API di identità utente restituisce valori nulli per gli spettatori pubblici.
-
Nessun spazio di archiviazione privato: gli utenti anonimi non possono accedere all'archiviazione privata. È disponibile solo l'archiviazione condivisa.
-
Nessuna integrazione: le app pubbliche non possono utilizzare connettori di azione, elementi visivi incorporati, esperienze di chat integrate o spazi Amazon Quick.
-
Limitazione della frequenza: le richieste di inferenza AI provenienti dalle app pubbliche sono limitate alla frequenza per prevenire gli abusi. L'utilizzo viene conteggiato ai fini della quota di abbonamento del proprietario dell'app.
-
Stessa sandbox: le app pubbliche vengono eseguite nello stesso iframe in modalità sandbox con la stessa politica di sicurezza dei contenuti delle app private.