什麼是 Amazon Verified Permissions? - Amazon Verified Permissions
驗證許可中的授權Cedar 政策語言已驗證許可的優點相關服務存取已驗證的許可已驗證許可的定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 Amazon Verified Permissions?

Amazon Verified Permissions 是一種可擴展、精細的許可管理和授權服務,適用於您建置的自訂應用程式。驗證許可可讓您的開發人員透過外部化授權和集中化政策管理,更快速地建置安全的應用程式。Verified Permissions 使用 Cedar 政策語言來定義精細的許可,以保護您應用程式的資源。

如需使用 Verified Permissions 設定政策決策點 (PDP) 的指引和範例,請參閱 AWS 規範性指南中的使用 Amazon Verified Permissions 實作 PDP

驗證許可中的授權

驗證許可透過驗證主體是否允許在應用程式中的指定內容中對資源執行動作,來提供授權。Verified Permissions 假設主體先前已透過其他方式識別和驗證,例如使用 OpenID Connect 等通訊協定、Amazon Cognito 等託管提供者,或其他身分驗證解決方案。已驗證的許可與主體的管理位置以及驗證方式無關。

Verified Permissions 是一種服務,可讓客戶在 中建立、維護和測試政策 AWS Management Console、以程式設計方式使用 Verified Permissions APIs,或透過基礎設施做為程式碼解決方案 AWS CloudFormation。許可是使用 Cedar 政策語言表示。用戶端應用程式會呼叫授權 APIs 來評估與服務一起存放的 Cedar 政策,並提供是否允許 動作的存取決策。

Cedar 政策語言

Verified Permissions 中的授權政策是使用 Cedar 政策語言撰寫。Cedar 是一種開放原始碼語言,用於撰寫授權政策,並根據這些政策做出授權決策。當您建立應用程式時,您需要確保只有授權的主體、人類使用者或機器可以存取應用程式,而且只能執行他們獲得授權執行的操作。使用 Cedar,您可以將您的商業邏輯與授權邏輯分離。在您應用程式的程式碼中,您會在呼叫 Cedar 授權引擎時,對操作提出請求前,詢問「是否授權此請求?」。然後,如果決策為「允許」,應用程式可以執行請求的操作,或者如果決策為「拒絕」,則傳回錯誤訊息。

已驗證的許可目前使用 Cedar 2.4 版。

如需 Cedar 的詳細資訊,請參閱以下內容:

已驗證許可的優點

加速應用程式開發

將授權從商業邏輯解耦,以加速應用程式開發。

更安全的應用程式

驗證許可可讓開發人員建置更安全的應用程式。

最終使用者功能

已驗證的許可可讓您為許可管理提供更豐富的最終使用者功能。

  • Amazon Cognito – Amazon Cognito 是適用於 Web 和行動應用程式的身分平台。是一種使用者目錄、身分驗證伺服器,以及 OAuth 2.0 存取權杖和 AWS 憑證的授權服務。建立政策存放區時,您可以選擇從 Amazon Cognito 使用者集區建置主體和群組。如需詳細資訊,請參閱 Amazon Cognito 開發人員指南

  • Amazon API Gateway – Amazon API Gateway 是一種 AWS 服務,可用於建立、發佈、維護、監控和保護任何規模的 REST、HTTP 和 WebSocket APIs。當您建立政策存放區時,您可以選擇從 API Gateway 中的 API 建置動作和資源。如需 API Gateway 的詳細資訊,請參閱 API Gateway 開發人員指南

  • AWS IAM Identity Center – 透過 IAM Identity Center,您可以管理人力資源身分的登入安全性,也稱為人力資源使用者。IAM Identity Center 提供一個位置,您可以在其中建立或連接人力資源使用者,並集中管理其所有 AWS 帳戶 和應用程式的存取權。如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》https://docs.aws.amazon.com/singlesignon/latest/userguide/

存取已驗證的許可

您可以透過下列任何方式使用 Amazon Verified Permissions。

AWS Management Console

主控台是以瀏覽器為基礎的介面,用於管理已驗證的許可和資源 AWS 。如需透過主控台存取已驗證許可的詳細資訊,請參閱AWS 登入 《 使用者指南》中的如何登入 AWS

AWS 命令列工具

您可以使用 AWS 命令列工具在系統的命令列發出命令,以執行 Verified Permissions 和 AWS 任務。使用命令列可以比主控台更快,也更便利。若您想要建構執行 AWS 任務的指令碼,命令列工具也非常實用。

AWS 提供兩組命令列工具: AWS Command Line Interface(AWS CLI) 和 AWS Tools for Windows PowerShell。如需有關安裝和使用 的資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。如需安裝和使用 Tools for Windows PowerShell 的詳細資訊,請參閱 AWS Tools for Windows PowerShell 使用者指南

AWS SDKs

AWS 提供 SDKs(軟體開發套件),其中包含程式庫和範例程式碼,適用於各種程式設計語言和平台 (Java、Python、Ruby、.NET、iOS、Android 等)。SDKs提供便捷的方式,以建立對 Verified Permissions 和 的程式設計存取 AWS。例如,開發套件會負責的工作諸如以密碼演算法簽署請求、管理錯誤以及自動重試請求。

若要進一步了解 和 AWS SDKs,請參閱適用於 的工具 Amazon Web Services

以下是各種 AWS SDKs 中已驗證許可資源的文件連結。

AWS CDK 建構

AWS Cloud Development Kit (AWS CDK) 是開放原始碼軟體開發架構,可用於在程式碼中定義雲端基礎設施並透過其佈建 AWS CloudFormation。建構或可重複使用的雲端元件可用於建立 AWS CloudFormation 範本。然後,您可以使用這些範本來部署雲端基礎設施。

若要進一步了解並下載 AWS CDK,請參閱AWS 雲端開發套件

以下是 Verified Permissions AWS CDK 資源的文件連結,例如 constructs。

已驗證的許可 API

您可以使用 Verified Permissions API 以 AWS 程式設計方式存取 Verified Permissions,這可讓您直接向 服務發出 HTTPS 請求。當您使用 API 時,必須包含使用您的登入資料來數位簽署請求的程式碼。

已驗證許可的定價

Verified Permissions 會根據您的應用程式對 Verified Permissions 每月提出的授權請求數量,提供分層定價。政策管理動作的定價也會根據應用程式對 Verified Permissions 每月提出的 cURL (用戶端 URL) 政策 API 請求量。

如需 Verified Permissions 費用和價格的完整清單,請參閱 Amazon Verified Permissions 定價

若要查看您的帳單,請前往 AWS Billing and Cost Management 主控台中的帳單與成本管理儀表板。您的帳單內含用量報告的連結,可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單,請參閱 AWS Billing 使用者指南

如果您對 AWS 帳單、帳戶和事件有任何疑問,請聯絡 支援