![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-12-26T02:19:29+00:00","default:admin","admin") #author("2022-12-26T02:27:01+00:00","default:admin","admin") [[Amazon Verified Permissions:https://aws.amazon.com/jp/verified-permissions/]] -[[[新サービス] Amazon Verified Permissionsがプレビューリリースされました #reinvent:https://dev.classmethod.jp/articles/amazon-verified-permissions-preview-reinvent22/]] -[[Amazon Verified Permissions について妄想を膨らませ損ねました #reInvent #cmregrowth:https://dev.classmethod.jp/articles/amazon-verified-permissions-reinvent-cmregrowth/]] --[[動画:https://www.youtube.com/watch?v=W-OUrKzbbOI]] ... わかりやすい解説 -[[【re:Invent 2022】新サービス:Amazon Verified Permissions:https://www.sunnycloud.jp/column/20221129-01-2/]] -Amazon Verified Permissions はカスタムアプリケーションに権限管理機能を提供するもの -Amazon Verified Permissions を利用すれば、認証やアクセス制御の機能を独自アプリケーションに持たせる必要がなくなる -AWS IAM とはあまり関係ない -Amazon Verified Permissions におけるポリシーは PBAC(Policy based access control) --RBAC(Role based)と ABAC(Attribute based)のいいとこ取り ---RBACは、大規模になってくると辛い ---ABACは、柔軟ゆえに統制効かせるのが大変 -[[CEDAR:https://www.cedarpolicy.com/]]という言語を利用してユーザの権限を定義し、モデルを作成することで権限コントロールを実装する -できること --ポリシーの作成・管理 --アプリケーションを通じた権限管理 --エンドユーザアクションの認可 --許可の監査 -具体的には、以下の流れで利用 --事前に権限を定義して認可モデルを作成 --アプリケーションがCognitoなどのIDPからユーザ認証を行う --Amazon Verified Permissionsが認証されたユーザがどのアプリケーション・リソースへアクセスできるかをコントロールする -[[CEDAR:https://www.cedarpolicy.com/]]という言語を利用してユーザの権限を定義し、モデルを作成することで権限コントロールを実装する *主な機能 [#s2713633] **ポリシーの作成・管理 [#z8ac23a1] -マネジメントコンソールもしくはAPIでポリシーを作成 -権限管理をアプリケーションコードの外部に出せる **アプリケーションを通じた権限管理 [#d8abbd98] -アプリケーション上でポリシーを変更できる --例)ポータル上の操作で権限の委任を行う **エンドユーザアクションの認可 [#vcfc8857] -エンドユーザの認可 **許可の監査 [#d02d5a34] -CloudTrailや監査ツールを用いて許可の監査ができる
