本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon Verified Permissions?
Amazon Verified Permissions 是針對您建置的自訂應用程式的可擴展、精細的許可管理和授權服務。已驗證的許可可讓您的開發人員透過外部化授權和集中化政策管理,更快速地建置安全應用程式。已驗證許可使用 Cedar 政策語言來定義精細許可,以保護應用程式的資源。
Verified Permissions 中的授權
已驗證許可透過驗證主體是否允許在應用程式中的指定內容中對資源執行動作來提供授權。已驗證許可假設主體先前已透過其他方式識別和驗證,例如使用 OpenID Connect 等通訊協定、Amazon Cognito 等託管提供者,或其他身分驗證解決方案。已驗證的許可與主體的管理位置及驗證方式無關。
Verified Permissions 是一項服務,可讓客戶在 中建立、維護和測試政策 AWS Management Console、以程式設計方式使用 Verified Permissions APIs或透過基礎設施做為程式碼解決方案,例如 AWS CloudFormation。許可是使用 Cedar 政策語言表示。用戶端應用程式會呼叫授權APIs,以評估與服務一起存放的 Cedar 政策,並提供是否允許動作的存取決定。
Cedar 政策語言
Verified Permissions 中的授權政策是使用 Cedar 政策語言撰寫。Cedar 是一種開放原始碼語言,用於撰寫授權政策,並根據這些政策做出授權決策。建立應用程式時,您需要確保只有授權的主體、人工使用者或機器才能存取應用程式,並且只能執行他們獲得授權執行的操作。使用 Cedar,您可以將您的業務邏輯與授權邏輯分離。在應用程式的程式碼中,您會在呼叫 Cedar 授權引擎時,預先提出對操作提出的請求,詢問「是否已授權此請求?」。然後,如果決策為「允許」,應用程式可以執行請求的操作,或者如果決策為「拒絕」,則傳回錯誤訊息。
已驗證的許可目前使用 Cedar 2.4 版。
如需 Cedar 的詳細資訊,請參閱下列內容:
Verified Permissions 的優點
加速應用程式開發
將授權從商業邏輯解耦,以加速應用程式開發。
更安全的應用程式
已驗證許可可讓開發人員建置更安全的應用程式。
最終使用者功能
已驗證的許可可讓您為許可管理提供更豐富的最終使用者功能。
相關服務
-
Amazon Cognito – Amazon Cognito 是適用於 Web 和行動應用程式的身分平台。這是 2.0 OAuth 存取權杖和憑證的使用者目錄、身分驗證伺服器和 AWS 授權服務。建立政策存放區時,您可以選擇從 Amazon Cognito 使用者集區建置主體和群組。如需詳細資訊,請參閱 Amazon Cognito 開發人員指南。
-
Amazon API Gateway – Amazon API Gateway 是一種 AWS 用於建立、發佈、維護、監控和保護 REST、 HTTP和 WebSocket APIs 的任何規模的服務。當您建立政策存放區時,您可以選擇在 API Gateway API中從 建置動作和資源。如需API閘道的詳細資訊,請參閱API閘道開發人員指南 。
-
AWS IAM Identity Center – 透過 IAM Identity Center,您可以管理人力資源身分的登入安全,也稱為人力資源使用者。IAM Identity Center 提供一個位置,您可以在其中建立或連線人力資源使用者,並集中管理其所有 AWS 帳戶 和應用程式的存取權。如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》https://docs.aws.amazon.com/singlesignon/latest/userguide/。
存取已驗證的許可
您可以透過下列任何方式使用 Amazon Verified Permissions。
- AWS Management Console
-
主控台是瀏覽器型介面,用於管理已驗證的許可和資源 AWS 。如需透過主控台存取已驗證許可的詳細資訊,請參閱 使用者指南 中的如何登入 AWS 。 AWS 登入
- AWS 命令列工具
-
您可以使用 AWS 命令列工具在系統的命令列發出命令,以執行驗證許可和 AWS 任務。使用命令列可以比主控台更快,也更便利。若您想要建構執行 AWS 任務的指令碼,命令列工具也非常實用。
AWS 提供兩組命令列工具: AWS Command Line Interface
(AWS CLI) 和 AWS Tools for Windows PowerShell 。如需有關安裝和使用 的資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南 。如需有關安裝和使用 Tools for Windows 的資訊 PowerShell,請參閱 AWS Tools for Windows PowerShell 使用者指南 。 -
AWS CLI 命令參考中的已驗證許可
-
中的 Amazon 驗證許可 AWS Tools for Windows PowerShell
-
- AWS SDKs
-
AWS 提供 SDKs(軟體開發套件),其中包含各種程式設計語言和平台 (Java、Python、Ruby、.NET、iOS、Android 等) 的程式庫和範例程式碼。SDKs 提供建立已驗證許可和 的程式設計存取的便利方式 AWS。例如, SDKs會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。
若要進一步了解並下載 AWS SDKs,請參閱適用於 的工具 Amazon Web Services
。 以下是各種 中已驗證許可資源的文件連結 AWS SDKs。
- AWS CDK 建構
-
AWS Cloud Development Kit (AWS CDK) 是開放原始碼軟體開發架構,用於在程式碼中定義雲端基礎設施,並透過 佈建雲端基礎設施 AWS CloudFormation。建構或可重複使用的雲端元件可用於建立 AWS CloudFormation 範本。然後,這些範本可用於部署您的雲端基礎設施。
若要進一步了解並下載 AWS CDK,請參閱 AWS 雲端開發套件
。 以下是 Verified Permissions AWS CDK 資源的文件連結,例如 constructs。
- 已驗證的許可 API
-
您可以使用 Verified Permissions 以 AWS 程式設計方式存取 Verified PermissionsAPI,這可讓您直接向 服務發出HTTPS請求。使用 時API,您必須包含程式碼,才能使用您的憑證以數位方式簽署請求。
Verified Permissions 的定價
Verified Permissions 會根據您的應用程式對 Verified Permissions 每月提出的授權請求數量,提供分層定價。政策管理動作的定價也會根據應用程式對 Verified Permissions 每月提出的 cURL (用戶端 URL) 政策API請求量。
如需 Verified Permissions 費用和價格的完整清單,請參閱 Amazon Verified Permissions 定價
若要查看您的帳單,請前往 AWS Billing and Cost Management 主控台
如果您對 AWS 帳單、帳戶和事件有任何疑問,請聯絡 AWS Support
