Amazon Verified Permissions
- Amazon Verified Permissions はカスタムアプリケーションに権限管理機能を提供するもの
- Amazon Verified Permissions を利用すれば、認証やアクセス制御の機能を独自アプリケーションに持たせる必要がなくなる
- AWS IAM とはあまり関係ない
- Amazon Verified Permissions におけるポリシーは PBAC(Policy based access control)
- RBAC(Role based)と ABAC(Attribute based)のいいとこ取り
- RBACは、大規模になってくると辛い
- ABACは、柔軟ゆえに統制効かせるのが大変
- CEDARという言語を利用してユーザの権限を定義し、モデルを作成することで権限コントロールを実装する
- 具体的には、以下の流れで利用
- 事前に権限を定義して認可モデルを作成
- アプリケーションがCognitoなどのIDPからユーザ認証を行う
- Amazon Verified Permissionsが認証されたユーザがどのアプリケーション・リソースへアクセスできるかをコントロールする
主な機能 †
ポリシーの作成・管理 †
- マネジメントコンソールもしくはAPIでポリシーを作成
- 権限管理をアプリケーションコードの外部に出せる
アプリケーションを通じた権限管理 †
エンドユーザアクションの認可 †
許可の監査 †
- CloudTrail?や監査ツールを用いて許可の監査ができる