

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Quick 中应用程序中的安全性和沙箱
<a name="security-sandbox-apps"></a>

Quick 中的应用程序继承了 Amazon Quick 的企业级身份验证和授权。用户通过其现有的 Quick 身份访问应用程序，并且每个应用程序都在安全的沙盒 iframe 中运行。

## 身份验证
<a name="apps-authentication"></a>
+ **单点登录** — 用户通过 Quick 通过其组织的身份提供商（SSO、Active Directory、IAM）进行身份验证。无需其他凭证。
+ **会话安全**-所有应用程序交互都在经过身份验证的快速会话中运行。代币由平台自动管理。

## 授权层
<a name="apps-authorization"></a>


| 层 | 它控制什么 | 
| --- | --- | 
| 应用程序访问权限 | 谁可以查看或编辑应用程序（由应用程序所有者在共享时设置） | 
| 集成批准 | 应用程序可以访问哪些连接器、空间和仪表板（由作者在创作过程中设置） | 
| 运行时权限 | 根据查看者自己的快速权限，他们可以使用哪些数据和操作 | 
| 连接器身份验证 | 连接器如何使用外部 API 进行身份验证（由管理员配置） | 
| 公有访问权限 | 匿名观众是否可以在不登录的情况下访问应用程序（由应用程序所有者在共享时设置；仅限免费版和高级版账号） | 

**重要**  
应用程序查看者只能访问他们已有权在 Quick 中查看的数据。嵌入仪表板视觉对象并不能绕过行级安全性或列级权限。

## 集成同意模型
<a name="apps-integration-consent"></a>

当 Quick 代理中的应用程序向您的应用程序添加集成（操作连接器、空间、仪表板视觉效果或 AI 推理）时，它会提示您进行批准。这种同意模式可确保：
+ 您确切地知道您的应用程序会进行哪些外部调用。
+ 您可以控制读取权限与写入权限。
+ 已发布的应用程序从不包含未经批准的集成。
+ 应用程序查看者继承已批准的集成范围，而不是更广泛的访问权限。

## 沙盒限制
<a name="apps-sandbox-restrictions"></a>

Quick 应用程序中的每个应用程序都运行在具有严格安全策略的沙盒 iframe 中。沙箱仅允许脚本执行。所有其他功能（导航、弹出窗口、直接网络访问）都受到限制。
+ **链接导航**-应用程序无法直接打开外部网址。用户可以通过按 Cmd\+Click (macOS) 或 Ctrl\+Click (Windows) 来关注链接。
+ **外部资源**-内容安全策略禁止从外部服务器加载图像、脚本、字体和其他资产。使用从 Amazon Quick 空间加载的内联 SVG 图形、 Base64-encoded 图像数据或图像文件。
+ **网络请求**-应用程序代码无法直接向外部服务器发出 HTTP 请求。与外部系统的所有通信都通过安全桥 API 或注册的操作连接器进行。
+ **文件下载**-文件下载必须使用 Quick 运行时库中应用程序中的`downloadFile`功能。
+ **公共应用程序隔离** — 公共应用程序与私有应用程序在同一个沙箱中运行，但无法访问操作连接器、嵌入式视觉对象、嵌入式聊天体验或 Amazon Quick 空间。匿名查看者只能使用共享存储和 AI 推理。

## 公共应用程序安全
<a name="apps-public-app-security"></a>

公共应用程序允许匿名访问，无需身份验证。以下安全措施适用：
+ **没有身份** — 匿名观众没有用户身份。用户身份 API 会为公众查看者返回空值。
+ **没有私有存储空间** — 匿名查看者无法访问私有存储。只有共享存储空间可用。
+ **没有集成** — 公共应用程序不能使用操作连接器、嵌入式视觉效果、嵌入式聊天体验或 Amazon Quick 空间。
+ **速率限制** — 来自公共应用程序的 AI 推理请求受到速率限制，以防止滥用。使用量计入应用程序所有者的订阅配额。
+ **相同的沙箱** — 公共应用程序在同一个沙盒 iframe 中运行，其内容安全策略与私有应用程序相同。