本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
快速應用程式中的安全性和沙盒
Quick 中的應用程式會繼承 Amazon Quick 的企業級身分驗證和授權。使用者透過現有的快速身分存取應用程式,而每個應用程式都會在安全的沙盒化 iframe 內執行。
身分驗證
-
單一登入 — 使用者透過其組織的身分提供者 (SSO、Active Directory、IAM) 透過 Quick 進行身分驗證。不需要額外的登入資料。
-
工作階段安全性 — 所有應用程式互動都會在已驗證的 Quick 工作階段中執行。權杖是由 平台自動管理。
授權層
| Layer | 它控制的內容 |
|---|---|
| 應用程式存取 | 誰可以檢視或編輯應用程式 (由應用程式擁有者在共用時設定) |
| 整合核准 | 應用程式可存取的連接器、空間和儀表板 (作者在撰寫期間設定) |
| 執行時間許可 | 根據檢視器自己的快速許可,他們可以使用哪些資料和動作 |
| 連接器身分驗證 | 連接器如何使用外部 API 進行身分驗證 (由管理員設定) |
| 公開存取 | 匿名瀏覽者是否可以存取應用程式而不登入 (由應用程式擁有者在共用時設定;僅限免費和 Plus 帳戶) |
重要
應用程式檢視器只能存取已獲授權可在 Quick 中查看的資料。內嵌儀表板視覺效果不會略過資料列層級安全性或資料欄層級許可。
整合同意模型
當快速代理程式中的應用程式新增整合到您的應用程式 (動作連接器、空間、儀表板視覺效果或 AI 推論) 時,它會提示您進行核准。此同意模型可確保:
-
您確切知道應用程式發出哪些外部呼叫。
-
您可以控制讀取與寫入許可。
-
發佈的應用程式絕不會包含未經核准的整合。
-
應用程式檢視器會繼承核准的整合範圍,而不是更廣泛的存取。
沙盒限制
快速應用程式中的每個應用程式都會在具有嚴格安全政策的沙盒化 iframe 內執行。沙盒僅允許指令碼執行。所有其他功能 (導覽、快顯視窗、直接網路存取) 都會受到限制。
-
連結導覽 — 應用程式無法直接開啟外部 URLs。使用者可按 Cmd+Click (macOS) 或 Ctrl+Click (Windows) 追蹤連結。
-
外部資源 — 內容安全政策會封鎖從外部伺服器載入映像、指令碼、字型和其他資產。使用內嵌 SVG 圖形、Base64-encoded的影像資料,或從 Amazon Quick 空間載入的影像檔案。
-
網路請求 — 應用程式碼無法對外部伺服器提出直接 HTTP 請求。與外部系統的所有通訊都會經過安全橋接 API 或已註冊的動作連接器。
-
檔案下載 — 檔案下載必須使用快速執行時間程式庫中應用程式的
downloadFile函數。 -
公有應用程式隔離 — 公有應用程式在與私有應用程式相同的沙盒中執行,但無法存取動作連接器、內嵌視覺效果、內嵌聊天體驗或 Amazon Quick 空間。只有共用儲存和 AI 推論可供匿名瀏覽者使用。
公有應用程式安全性
公有應用程式允許匿名存取,無需身分驗證。適用下列安全措施:
-
無身分 — 匿名瀏覽者沒有使用者身分。使用者身分 API 會傳回公有檢視器的 null 值。
-
無私有儲存 — 匿名瀏覽者無法存取私有儲存。只有共用儲存可用。
-
無整合 – 公有應用程式無法使用動作連接器、內嵌視覺效果、內嵌聊天體驗或 Amazon Quick 空間。
-
速率限制 — 來自公有應用程式的 AI 推論請求會受到速率限制,以防止濫用。用量會計入應用程式擁有者的訂閱配額。
-
相同的沙盒 — 公有應用程式在與私有應用程式具有相同內容安全政策的相同沙盒 iframe 中執行。