Amazon Verified Permissions とは何でしょうか? - Amazon Verified Permissions

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Verified Permissions とは何でしょうか?

Amazon Verified Permissions は、お客様が作成したカスタムアプリケーション向けの、スケーラブルできめ細かな権限管理および認可サービスです。Verified Permissions を利用すると、認可を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。Verified Permissions は、Cedar ポリシー言語を使用して、アプリケーションのリソースを保護するためのきめ細かなアクセス許可を定義します。

Verified Permissions を使用してポリシー決定ポイント (PDP) を設定するガイダンスと例については、AWS 「 規範ガイダンス」の「Amazon Verified Permissions を使用した PDP の実装」を参照してください。

Amazon Verified Permissions による認可

Verified Permissions は、プリンシパルがアプリケーション内の特定のコンテキストでリソースに対してアクションを実行できるかどうかを検証することで認可を提供します。認証済みアクセス権限は、プリンシパルが OpenID Connect などのプロトコル、Amazon Cognito などのホストプロバイダー、または別の認証ソリューションを使用するなど、他の手段で以前に識別および認証されていることを前提としています。Verified Permissions は、プリンシパルが管理されている場所と認証方法に依存しません。

Verified Permissions は、お客様が Verified Permissions API を使用してプログラムで AWS Management Console、または のような Infrastructure as Code ソリューションを通じて、 でポリシーを作成、保守、テストできるようにするサービスです AWS CloudFormation。 APIs 権限は Cedar ポリシー言語を使用して表現されます。クライアントアプリケーションは認可 API を呼び出して、サービスに保存されている Cedar ポリシーを評価し、アクションが許可されるかどうかのアクセス判断を行います。

Cedar ポリシー言語

Verified Permissions の認可ポリシーは Cedar ポリシー言語を使用して記述されます。Cedar は、認可ポリシーを記述し、そのポリシーに基づいて認可決定を行うためのオープンソース言語です。アプリケーションを作成するときは、許可されたプリンシパル、人間のユーザー、マシンのみがアプリケーションにアクセスできること、および許可された操作のみを実行できるようにする必要があります。Cedar を使えば、ビジネスロジックを認可ロジックから切り離すことができます。アプリケーションのコードでは、オペレーションに対するリクエストの前に Cedar 認可エンジンを呼び出し、「このリクエストは認可されていますか?」と尋ねます。次に、アプリケーションは、決定が「許可」の場合は要求された操作を実行し、決定が「拒否」の場合はエラーメッセージを返すことができます。

Verified Permissions は現在 Cedar バージョン 2.4 を使用しています。

Cedar の詳細については、以下を参照してください。

Verified Permissions の利点

アプリケーションの開発を加速

認可をビジネスロジックから切り離すことで、アプリケーション開発を加速します。

より安全なアプリケーション

Verified Permissions により、デベロッパーはより安全なアプリケーションを構築できます。

エンドユーザー機能

Verified Permissions により、権限管理のためのより充実したエンドユーザー機能を提供できます。

  • Amazon Cognito はウェブアプリとモバイルアプリ用のアイデンティティプラットフォームです。これは、OAuth 2.0 アクセストークンと AWS 認証情報のための、ユーザーディレクトリであり、認証サーバーであり、認可サービスです。ポリシーストアを作成するときに、Amazon Cognito ユーザープールからプリンシパルとグループを構築するオプションがあります。詳細については、「Amazon Cognito デベロッパーガイド」をご覧ください。

  • Amazon API Gateway - Amazon API Gatewayは、あらゆる規模の REST、HTTP、および WebSocket API を作成、公開、維持、モニターリング、およびセキュア化するための AWS サービスです。ポリシーストアを作成するときは、API Gateway の API からアクションとリソースを構築できます。API Gateway の詳細については、「API Gateway デベロッパーガイド」を参照してください。

  • AWS IAM Identity Center— IAM アイデンティティセンター を使用すると、ワークフォースユーザーとも呼ばれるワークフォース ID のサインインセキュリティを管理できます。IAM Identity Center は、ワークフォースユーザーを作成または接続し、すべての AWS アカウント およびアプリケーションへのアクセスを一元管理できる 1 つの場所を提供します。詳細については、AWS IAM Identity Center ユーザーガイドをご参照ください。

Verified Permissions へのアクセス

Amazon Verified Permissions は次のいずれかの方法で使用できます。

AWS Management Console

コンソールは Verified Permissions および AWS リソースを管理するためのブラウザーベースのインターフェイスです。コンソールから IAM にアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「AWSにサインインする方法」を参照してください。

AWS コマンドラインツール

AWS コマンドラインツールを使用して、システムのコマンドラインでコマンドを発行し、Verified Permissions と AWS タスクを実行できます。コマンドラインを使用すると、コンソールよりも高速で便利になります。コマンドラインツールは、 AWS のタスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface (AWS CLI) と の 2 セットのコマンドラインツールが用意されていますAWS Tools for Windows PowerShell。のインストールと使用の詳細については AWS CLI、 AWS Command Line Interface ユーザーガイドを参照してください。Tools for Windows PowerShell のインストールおよび使用の方法については、AWS Tools for Windows PowerShell ユーザーガイドを参照してください。

AWS SDKs

AWS にはSDKs (ソフトウェア開発キット) が用意されています。SDK は、Verified Permissions や AWSへのプログラムによるアクセス許可を作成するのに役立ちます。例えば、SDK は要求への暗号を使用した署名、エラーの管理、要求の自動的な再試行などのタスクを処理します。

詳細と AWS SDKs「 ツール Amazon Web Services」を参照してください。

以下は、さまざまな AWS SDKs。

AWS CDK コンストラクト

AWS Cloud Development Kit (AWS CDK) は、コードでクラウドインフラストラクチャを定義し、それを通じてプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです AWS CloudFormation。テンプレートの作成 AWS CloudFormation には、コンストラクトまたは再利用可能なクラウドコンポーネントを使用できます。その後、これらのテンプレートを使用してクラウドインフラストラクチャをデプロイできます。

詳細と AWS CDK のダウンロードについては、AWS 「 クラウド開発キット」を参照してください。

以下は、コンストラクトなどの Verified Permissions AWS CDK リソースのドキュメントへのリンクです。

Verified Permissions API

Verified Permissions API を使用して AWS 、プログラムで Verified Permissions および にアクセスできます。これにより、HTTPS リクエストを サービスに直接発行できます。 API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。

Verified Permissions の料金

Verified Permissions は、アプリケーションが検証済み権限に対して行う 1 か月あたりの認可リクエスト数に基づいて段階的に課金されます。また、ポリシー管理アクションには、アプリケーションがVerified Permissions に対して毎月行うcURL(クライアントURL)ポリシーAPIリクエストの量に基づく料金設定もあります。

Verified Permissions の課金および料金の詳細な一覧については、「Amazon Verified Permissions の料金表」を参照してください。

請求を表示するにはAWS Billing and Cost Management コンソール請求およびコスト管理ダッシュボードに移動します。請求書には料金の明細が記載された使用状況レポートへのリンクが記載されています。 AWS アカウント 請求の詳細については、 AWS Billing ユーザーガイドを参照してください。

AWS 請求、アカウント、イベントについてご質問がある場合は、 にお問い合わせください サポート