Amazon Verified Permissions とは何でしょうか? - Amazon Verified Permissions
Amazon Verified Permissions による認可Cedar ポリシー言語Verified Permissions の利点関連サービスVerified Permissions へのアクセスVerified Permissions の料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Verified Permissions とは何でしょうか?

Amazon Verified Permissions は、お客様が作成したカスタムアプリケーション向けの、スケーラブルできめ細かな権限管理および認可サービスです。Verified Permissions を利用すると、認可を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。Verified Permissions は、Cedar ポリシー言語を使用して、アプリケーションのリソースを保護するためのきめ細かなアクセス許可を定義します。

Amazon Verified Permissions による認可

Verified Permissions は、プリンシパルがアプリケーション内の特定のコンテキストでリソースに対してアクションを実行することを許可されているかどうかを確認することで、承認を提供します。認証済みアクセス権限は、プリンシパルが OpenID Connect などのプロトコル、Amazon Cognito などのホストプロバイダー、または別の認証ソリューションを使用するなど、他の手段で以前に識別および認証されていることを前提としています。Verified Permissions は、プリンシパルが管理されている場所と認証方法に依存しません。

Verified Permissions は、お客様が でポリシーを作成、維持 AWS Management Console、テストできるようにするサービスです。Verified Permissions を使用してプログラムで、または などのコードソリューションとしてインフラストラクチャを通じてポリシーを作成、維持APIs、テストできます AWS CloudFormation。権限は Cedar ポリシー言語を使用して表現されます。クライアントアプリケーションは認証APIsを呼び出して、 サービスに保存されている Cedar ポリシーを評価し、アクションが許可されるかどうかのアクセス決定を提供します。

Cedar ポリシー言語

Verified Permissions の認可ポリシーは Cedar ポリシー言語を使用して記述されます。Cedar は、認可ポリシーを記述し、そのポリシーに基づいて認可決定を行うためのオープンソース言語です。アプリケーションを作成するときは、許可されたプリンシパル、人間のユーザー、またはマシンのみがアプリケーションにアクセスできるようにし、許可された操作のみを実行できるようにする必要があります。Cedar を使えば、ビジネスロジックを認可ロジックから切り離すことができます。アプリケーションのコードでは、オペレーションに対するリクエストの前に Cedar 認可エンジンを呼び出し、「このリクエストは認可されていますか?」と尋ねます。次に、アプリケーションは、決定が「許可」の場合は要求された操作を実行し、決定が「拒否」の場合はエラーメッセージを返すことができます。

Verified Permissions は現在 Cedar バージョン 2.4 を使用しています。

Cedar の詳細については、以下を参照してください。

Verified Permissions の利点

アプリケーションの開発を加速

認可をビジネスロジックから切り離すことで、アプリケーション開発を加速します。

より安全なアプリケーション

Verified Permissions により、デベロッパーはより安全なアプリケーションを構築できます。

エンドユーザー機能

Verified Permissions により、権限管理のためのより充実したエンドユーザー機能を提供できます。

  • Amazon Cognito はウェブアプリとモバイルアプリ用のアイデンティティプラットフォームです。これは、ユーザーディレクトリ、認証サーバー、および OAuth 2.0 アクセストークンと AWS 認証情報の認証サービスです。ポリシーストアを作成するときに、Amazon Cognito ユーザープールからプリンシパルとグループを構築するオプションがあります。詳細については、「Amazon Cognito デベロッパーガイド」をご覧ください。

  • Amazon API Gateway – Amazon API Gateway AWS は、、、および をあらゆる規模で作成REST、公開、維持、モニタリングHTTP、 WebSocket APIs保護するためのサービスです。ポリシーストアを作成するときは、APIGateway APIの からアクションとリソースを構築できます。API Gateway の詳細については、API「Gateway デベロッパーガイド」を参照してください。

  • AWS IAM Identity Center – IAM Identity Center を使用すると、ワークフォースユーザーとも呼ばれるワークフォース ID のサインインセキュリティを管理できます。IAM Identity Center には、ワークフォースユーザーを作成または接続し、すべての AWS アカウント およびアプリケーションへのアクセスを一元管理できる 1 つの場所が用意されています。詳細については、AWS IAM Identity Center ユーザーガイドをご参照ください。

Verified Permissions へのアクセス

Amazon Verified Permissions は次のいずれかの方法で使用できます。

AWS Management Console

コンソールは Verified Permissions および AWS リソースを管理するためのブラウザーベースのインターフェイスです。コンソールから IAM にアクセスする方法の詳細については、AWS サインイン ユーザーガイドの「AWSにサインインする方法」を参照してください。

AWS コマンドラインツール

AWS コマンドラインツールを使用して、システムのコマンドラインでコマンドを発行し、Verified Permissions と AWS タスクを実行できます。コマンドラインを使用すると、コンソールよりも高速で便利になります。コマンドラインツールは、 AWS のタスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface (AWS CLI) と の 2 つのコマンドラインツールセットが用意されていますAWS Tools for Windows PowerShell。のインストールと使用の詳細については AWS CLI、 AWS Command Line Interface ユーザーガイド を参照してください。Tools for Windows のインストールと使用の詳細については PowerShell、AWS Tools for Windows PowerShell 「 ユーザーガイド」を参照してください。

AWS SDKs

AWS には、さまざまなプログラミング言語とプラットフォーム SDKs (Java、Python、Ruby、.、iOSNET、Android など) のライブラリとサンプルコードで構成される (ソフトウェア開発キット) が用意されています。SDKs は、Verified Permissions と へのプログラムによるアクセスを作成する便利な方法を提供します AWS。例えば、 SDKsは、リクエストの暗号化による署名、エラーの管理、リクエストの自動再試行などのタスクを処理します。

の詳細とダウンロードについては AWS SDKs、「 Tools for Amazon Web Services」を参照してください。

以下は、さまざまな の検証済みアクセス許可リソースのドキュメントへのリンクです AWS SDKs。

AWS CDK コンストラクト

AWS Cloud Development Kit (AWS CDK) は、コード内のクラウドインフラストラクチャを定義し、 を通じてプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです AWS CloudFormation。コンストラクト、または再利用可能なクラウドコンポーネントを使用してテンプレートを作成できます AWS CloudFormation 。その後、これらのテンプレートを使用してクラウドインフラストラクチャをデプロイできます。

の詳細とダウンロードについては AWS CDK、AWS 「 クラウド開発キット」を参照してください。

以下は、コンストラクトなどの Verified Permissions AWS CDK リソースのドキュメントへのリンクです。

検証済みアクセス許可 API

Verified Permissions および には、Verified Permissions を使用して AWS プログラムでアクセスできます。これによりAPI、サービスに直接HTTPSリクエストを発行できます。を使用する場合はAPI、認証情報を使用してリクエストにデジタル署名するためのコードを含める必要があります。

Verified Permissions の料金

Verified Permissions は、アプリケーションが検証済み権限に対して行う 1 か月あたりの認可リクエスト数に基づいて段階的に課金されます。また、Verified Permissions へのアプリケーションによって行われた cURL (クライアント URL) ポリシーAPIリクエストの月あたりの量に基づいて、ポリシー管理アクションの料金も設定されます。

Verified Permissions の課金および料金の詳細な一覧については、「Amazon Verified Permissions の料金表」を参照してください。

請求を表示するには、AWS Billing and Cost Management コンソール請求およびコスト管理ダッシュボードに移動します。請求書には、料金の明細が記載された使用状況レポートへのリンクが記載されています。 AWS アカウント 請求の詳細については、AWS Billing 「 ユーザーガイド」を参照してください。

AWS 請求、アカウント、イベントに関するご質問は、 にお問い合わせください AWS Support