

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 快速應用程式中的安全性和沙盒
<a name="security-sandbox-apps"></a>

Quick 中的應用程式會繼承 Amazon Quick 的企業級身分驗證和授權。使用者透過現有的快速身分存取應用程式，而每個應用程式都會在安全的沙盒化 iframe 內執行。

## 身分驗證
<a name="apps-authentication"></a>
+ **單一登入** — 使用者透過其組織的身分提供者 (SSO、Active Directory、IAM) 透過 Quick 進行身分驗證。不需要額外的登入資料。
+ **工作階段安全性** — 所有應用程式互動都會在已驗證的 Quick 工作階段中執行。權杖是由 平台自動管理。

## 授權層
<a name="apps-authorization"></a>


| Layer | 它控制的內容 | 
| --- | --- | 
| 應用程式存取 | 誰可以檢視或編輯應用程式 （由應用程式擁有者在共用時設定） | 
| 整合核准 | 應用程式可存取的連接器、空間和儀表板 （作者在撰寫期間設定） | 
| 執行時間許可 | 根據檢視器自己的快速許可，他們可以使用哪些資料和動作 | 
| 連接器身分驗證 | 連接器如何使用外部 API 進行身分驗證 （由管理員設定） | 
| 公開存取 | 匿名瀏覽者是否可以存取應用程式而不登入 （由應用程式擁有者在共用時設定；僅限免費和 Plus 帳戶） | 

**重要**  
應用程式檢視器只能存取已獲授權可在 Quick 中查看的資料。內嵌儀表板視覺效果不會略過資料列層級安全性或資料欄層級許可。

## 整合同意模型
<a name="apps-integration-consent"></a>

當快速代理程式中的應用程式新增整合到您的應用程式 （動作連接器、空間、儀表板視覺效果或 AI 推論） 時，它會提示您進行核准。此同意模型可確保：
+ 您確切知道應用程式發出哪些外部呼叫。
+ 您可以控制讀取與寫入許可。
+ 發佈的應用程式絕不會包含未經核准的整合。
+ 應用程式檢視器會繼承核准的整合範圍，而不是更廣泛的存取。

## 沙盒限制
<a name="apps-sandbox-restrictions"></a>

快速應用程式中的每個應用程式都會在具有嚴格安全政策的沙盒化 iframe 內執行。沙盒僅允許指令碼執行。所有其他功能 （導覽、快顯視窗、直接網路存取） 都會受到限制。
+ **連結導覽** — 應用程式無法直接開啟外部 URLs。使用者可按 Cmd\+Click (macOS) 或 Ctrl\+Click (Windows) 追蹤連結。
+ **外部資源** — 內容安全政策會封鎖從外部伺服器載入映像、指令碼、字型和其他資產。使用內嵌 SVG 圖形、Base64-encoded的影像資料，或從 Amazon Quick 空間載入的影像檔案。
+ **網路請求** — 應用程式碼無法對外部伺服器提出直接 HTTP 請求。與外部系統的所有通訊都會經過安全橋接 API 或已註冊的動作連接器。
+ **檔案下載** — 檔案下載必須使用快速執行時間程式庫中應用程式的 `downloadFile`函數。
+ **公有應用程式隔離** — 公有應用程式在與私有應用程式相同的沙盒中執行，但無法存取動作連接器、內嵌視覺效果、內嵌聊天體驗或 Amazon Quick 空間。只有共用儲存和 AI 推論可供匿名瀏覽者使用。

## 公有應用程式安全性
<a name="apps-public-app-security"></a>

公有應用程式允許匿名存取，無需身分驗證。適用下列安全措施：
+ **無身分** — 匿名瀏覽者沒有使用者身分。使用者身分 API 會傳回公有檢視器的 null 值。
+ **無私有儲存** — 匿名瀏覽者無法存取私有儲存。只有共用儲存可用。
+ **無整合** – 公有應用程式無法使用動作連接器、內嵌視覺效果、內嵌聊天體驗或 Amazon Quick 空間。
+ **速率限制** — 來自公有應用程式的 AI 推論請求會受到速率限制，以防止濫用。用量會計入應用程式擁有者的訂閱配額。
+ **相同的沙盒** — 公有應用程式在與私有應用程式具有相同內容安全政策的相同沙盒 iframe 中執行。