Verified Access 신뢰 데이터의 서드 파티 신뢰 공급자 컨텍스트
이 섹션에서는 서드 파티 신뢰 공급자가 AWS Verified Access에 제공하는 신뢰 데이터를 설명합니다.
참고
신뢰 공급자의 컨텍스트 키는 신뢰 공급자를 생성할 때 구성한 정책 참조 이름에서 가져옵니다. 예를 들어, 정책 참조 이름을 “idp123"으로 구성하면 컨텍스트 키는 “context.idp123"이 됩니다. 정책을 생성할 때 올바른 컨텍스트 키를 사용하고 있는지 확인합니다.
브라우저 확장
디바이스 신뢰 컨텍스트를 액세스 정책에 통합하려는 경우 AWS Verified Access 브라우저 확장 프로그램이나 다른 파트너의 브라우저 확장이 필요합니다. Verified Access는 현재 Google Chrome과 Mozilla Firefox 브라우저를 지원합니다.
우리는 현재 Jamf(macOS 장치 지원), CrowdStrike(Windows 11 및 Windows 10 장치 지원), JumpCloud(Windows 및 MacOS 모두 지원)의 세 가지 디바이스 신뢰 공급자를 지원합니다.
-
정책에 Jamf 신뢰 데이터를 사용하는 경우 사용자는 Chrome 웹 스토어
또는 Firefox 추가 기능 사이트 에서 AWS Verified Access 브라우저 확장 프로그램을 디바이스에 다운로드하여 설치해야 합니다. -
정책에 CrowdStrike 신뢰 데이터를 사용하는 경우 먼저 사용자가 AWS Verified Access 네이티브 메시징 호스트
(직접 다운로드 링크)를 설치해야 합니다. 이 구성 요소는 사용자 디바이스에서 실행되는 CrowdStrike 에이전트로부터 신뢰 데이터를 가져오는 데 필요합니다. 그런 다음 이 구성 요소를 설치한 후 사용자는 Chrome 웹 스토어 또는 Firefox 추가 기능 사이트 에서 AWS Verified Access 브라우저 확장 프로그램을 디바이스에 설치해야 합니다. -
JumpCloud를 사용하는 경우 사용자는 기기에 Chrome 웹 스토어
또는 Firefox 추가 기능 사이트 의 JumpCloud 브라우저 확장 프로그램을 설치해야 합니다.
Jamf
Jamf는 타사 신뢰 공급자입니다. 정책을 평가할 때 Jamf를 신뢰 공급자로 정의하면 Verified·Access는 신뢰 공급자 구성에서 “정책 참조 이름(Policy Reference Name)”으로 지정한 키 아래에 Cedar 컨텍스트의 신뢰 데이터를 포함시킵니다. 원하는 경우 신뢰 데이터를 기준으로 평가하는 정책을 작성할 수 있습니다. 다음 JSON 스키마
Verified Access와 Jamf를 사용하는 방법에 대한 자세한 내용은 Jamf 웹사이트의 AWS Verified Access를 Jamf 디바이스 자격 증명과 통합
{ "title": "Jamf device data specification", "type": "object", "properties": { "iss": { "type": "string", "description": "\"Issuer\" - the Jamf customer ID" }, "iat": { "type": "integer", "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated" }, "exp": { "type": "integer", "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid" }, "sub": { "type": "string", "description": "\"Subject\" - either the hardware UID or a value generated based on device location" }, "groups": { "type": "array", "description": "Group IDs from UEM connector sync", "items": { "type": "string" } }, "risk": { "type": "string", "enum": [ "HIGH", "MEDIUM", "LOW", "SECURE", "NOT_APPLICABLE" ], "description": "a Jamf-reported level of risk associated with the device." }, "osv": { "type": "string", "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)" } } }
다음은 Jamf에서 제공하는 신뢰 데이터를 기준으로 평가하는 정책의 예입니다.
permit(principal, action, resource) when { context.jamf.risk == "LOW" };
Cedar는 Jamf의 위험 점수와 같은 Enum을 처리하는 데 유용한 .contains()
함수를 제공합니다.
permit(principal, action, resource) when { ["LOW", "SECURE"].contains(context.jamf.risk) };
CrowdStrike
CrowdStrike는 타사 신뢰 공급자입니다. 정책을 평가할 때 CrowdStrike를 신뢰 공급자로 정의하면 Verified·Access는 신뢰 공급자 구성에서 “정책 참조 이름(Policy Reference Name)”으로 지정한 키 아래에 Cedar 컨텍스트의 신뢰 데이터를 포함합니다. 원하는 경우 신뢰 데이터를 기준으로 평가하는 정책을 작성할 수 있습니다. 다음 JSON 스키마
Verified Access와 CrowdStrike를 사용하는 방법에 대한 자세한 내용은 GitHub 웹사이트의 CrowdStrike 및 AWS Verified Access를 통한 비공개 애플리케이션 보호
{ "title": "CrowdStrike device data specification", "type": "object", "properties": { "assessment": { "type": "object", "description": "Data about CrowdStrike's assessment of the device", "properties": { "overall": { "type": "integer", "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores" }, "os": { "type": "integer", "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host" }, "sensor_config": { "type": "integer", "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host" }, "version": { "type": "string", "description": "The version of the scoring algorithm being used" } } }, "cid": { "type": "string", "description": "Customer ID (CID) unique to the customer's environemnt" }, "exp": { "type": "integer", "description": "unixtime, The expiration time of the token" }, "iat": { "type": "integer", "description": "unixtime, The issued time of the token" }, "jwk_url": { "type": "string", "description": "URL that details the JWT signing" }, "platform": { "type": "string", "enum": ["Windows 10", "Windows 11", "macOS"], "description": "Operating system of the endpoint" }, "serial_number": { "type": "string", "description": "The serial number of the device derived by unique system information" }, "sub": { "type": "string", "description": "Unique CrowdStrike Agent ID (AID) of machine" }, "typ": { "type": "string", "enum": ["crowdstrike-zta+jwt"], "description": "Generic name for this JWT media. Client MUST reject any other type" } } }
다음은 CrowdStrike에서 제공하는 신뢰 데이터를 기준으로 평가하는 정책의 예입니다.
permit(principal, action, resource) when { context.crowdstrike.assessment.overall > 50 };
JumpCloud
JumpCloud는 타사 신뢰 공급자입니다. 정책을 평가할 때 JumpCloud를 신뢰 공급자로 정의하면 Verified Access는 사용자가 신뢰 공급자 구성에서 “정책 참조 이름(Policy Reference Name)”으로 지정한 키 아래에 Cedar 컨텍스트의 신뢰 데이터를 포함합니다. 원하는 경우 신뢰 데이터를 기준으로 평가하는 정책을 작성할 수 있습니다. 다음 JSON 스키마
AWS Verified Access가 포함된 JumpCloud 사용에 대한 자세한 내용은 JumpCloud 웹 사이트에서 JumpCloud 및 AWS Verified Access 통합
{ "title": "JumpCloud device data specification", "type": "object", "properties": { "device": { "type": "object", "description": "Properties of the device", "properties": { "is_managed": { "type": "boolean", "description": "Boolean to indicate if the device is under management" } } }, "exp": { "type": "integer", "description": "Expiration. Unixtime of the token's expiration." }, "durt_id": { "type": "string", "description": "Device User Refresh Token ID. Unique ID that represents the device + user." }, "iat": { "type": "integer", "description": "Issued At. Unixtime of the token's issuance." }, "iss": { "type": "string", "description": "Issuer. This will be 'go.jumpcloud.com'" }, "org_id": { "type": "string", "description": "The JumpCloud Organization ID" }, "sub": { "type": "string", "description": "Subject. The managed JumpCloud user ID on the device." }, "system": { "type": "string", "description": "The JumpCloud system ID" } } }
다음은 JumpCloud에서 제공하는 신뢰 컨텍스트를 기준으로 평가하는 정책의 예입니다.
permit(principal, action, resource) when { context.jumpcloud.org_id = 'Unique_orgnaization_identifier' };