FAQ Amazon Verified Permissions

Topik halaman

Umum

Umum

Izin Terverifikasi membantu Anda untuk melaksanakan dan menerapkan otorisasi terperinci pada sumber daya dalam aplikasi yang Anda buat dan lakukan deployment, seperti sistem SDM serta aplikasi perbankan. Dengan Izin Terverifikasi, Anda dapat melakukan tugas-tugas berikut:

  1. Menentukan model akses berbasis kebijakan yang menjelaskan sumber daya yang dikelola oleh aplikasi Anda dan tindakan (seperti melihat, memperbarui, dan berbagi) yang dapat dilakukan pengguna pada sumber daya tersebut.
  2. Memberi kemampuan kepada pengguna aplikasi untuk mengelola akses ke sumber daya tersebut. Aplikasi membuat izin bagi spesialis untuk melihat dan memperbarui catatan, lalu menyimpannya di Izin Terverifikasi.
  3. Menerapkan izin tersebut.

Gunakan Izin Terverifikasi bersama dengan penyedia identitas Anda, seperti Amazon Cognito, untuk solusi manajemen akses berbasis kebijakan yang lebih dinamis untuk aplikasi Anda. Anda dapat membangun aplikasi yang membantu pengguna akhir untuk berbagi informasi dan berkolaborasi sambil menjaga keamanan, kerahasiaan, serta privasi datanya. Izin Terverifikasi membantu Anda membuat aplikasi lebih cepat. Izin Terverifikasi juga membantu mengurangi biaya operasional dengan memberi Anda sistem otorisasi terperinci untuk menerapkan akses berdasarkan peran dan atribut identitas serta sumber daya Anda. Anda dapat menentukan model kebijakan, membuat dan menyimpan kebijakan di lokasi pusat, serta mengevaluasi permintaan akses dalam hitungan milidetik. Sebagai mesin kebijakan, Izin Terverifikasi dapat membantu aplikasi Anda memverifikasi tindakan pengguna secara waktu nyata, seperti yang diperlukan untuk Zero Trust. Izin Terverifikasi juga menyoroti izin yang terlalu istimewa dan tidak valid. Izin Terverifikasi mendukung tata kelola dan kepatuhan. Izin Terverifikasi menyediakan alat pengauditan untuk mengonfigurasi, memelihara, dan menganalisis izin di berbagai aplikasi guna membantu menjawab pertanyaan, seperti siapa yang memiliki akses ke apa.

Di Konsol Manajemen AWS, akses Izin Terverifikasi Amazon berdasarkan Keamanan, Identitas, dan Kepatuhan. Sederhanakan pengaturan aplikasi pertama Anda dengan menggunakan wizard yang memandu Anda melalui proses menentukan model izin aplikasi dan membuat izin. Anda kemudian dapat menggunakan API layanan atau konsol untuk mengevaluasi permintaan akses.

Izin Terverifikasi yang dikombinasikan dengan Amazon Cognito dan penyedia identitas lainnya, menawarkan kepada Anda solusi manajemen akses dinamis untuk aplikasi konsumen. Developer aplikasi dapat menggunakan Amazon Cognito untuk mengelola identitas pengguna dan mengautentikasi pengguna saat masuk. Izin Terverifikasi kemudian dapat menentukan sumber daya aplikasi yang diizinkan untuk diakses oleh pengguna yang diautentikasi. Anda juga dapat menggunakan layanan dengan Pusat Identitas IAM untuk aplikasi tenaga kerja.

Anda memerlukan izin detail dalam aplikasi untuk membatasi akses pengguna ke hak akses paling rendah, seperti yang diperlukan untuk arsitektur Zero Trust. Sistem otorisasi berbasis kebijakan pusat memberi developer cara yang konsisten untuk menentukan dan mengelola otorisasi detail di seluruh aplikasi, menyederhanakan perubahan aturan izin tanpa perlu mengubah kode, serta meningkatkan visibilitas izin dengan memindahkannya dari kode.

Anda dapat membuat model akses berbasis kebijakan yang menjelaskan sumber daya yang dikelola aplikasi dan tindakan yang dapat diambil pada sumber daya tersebut. Sumber daya ini dapat mencakup identitas nonmanusia, seperti perangkat atau proses sistem. Anda dapat membuat model melalui konsol, API, atau antarmuka baris perintah.

Ya, Izin Terverifikasi dapat digunakan dengan identitas dari penyedia mana pun, seperti Okta, Ping Identity, dan CyberArk.

Anda dapat menentukan izin melalui bahasa kebijakan Cedar. Kebijakan Cedar adalah pernyataan izin atau larangan yang menentukan apakah pengguna dapat menindaklanjuti suatu sumber daya. Kebijakan dikaitkan dengan sumber daya, dan Anda dapat melampirkan beberapa kebijakan ke sumber daya. Kebijakan larangan menggantikan kebijakan izin. Ini membantu Anda membuat pagar pembatas dalam aplikasi Anda yang mencegah akses, terlepas dari kebijakan izin yang mungkin berlaku.

Cedar adalah bahasa kontrol akses berbasis kebijakan yang fleksibel, dapat diperluas, dan dapat diskalakan, yang membantu developer mengekspresikan izin aplikasi sebagai kebijakan. Administrator dan developer dapat menentukan kebijakan yang mengizinkan atau melarang pengguna untuk bertindak atas sumber daya aplikasi. Beberapa kebijakan dapat dilampirkan ke satu sumber daya. Saat pengguna aplikasi Anda mencoba melakukan tindakan pada sumber daya, aplikasi Anda membuat permintaan otorisasi ke mesin kebijakan Cedar. Cedar mengevaluasi kebijakan yang berlaku dan mengembalikan keputusan PERMIT atau FORBID. Cedar mendukung aturan otorisasi untuk semua tipe pengguna utama dan sumber daya, memungkinkan kontrol akses berbasis peran dan atribut, serta mendukung analisis melalui alat penalaran otomatis.

Saat pengguna aplikasi Anda mencoba melakukan tindakan pada sumber daya, aplikasi Anda dapat memanggil API Izin Terverifikasi dengan permintaan otorisasi. Izin Terverifikasi memeriksa permintaan berdasarkan kebijakan yang relevan dan mengembalikan keputusan IZINKAN atau TOLAK berdasarkan hasil dari evaluasi tersebut. Berdasarkan hasil ini, aplikasi Anda dapat mengizinkan pengguna untuk melakukan tindakan atau memblokirnya.

Gunakan API Izin Terverifikasi di aplikasi Anda untuk membuat kebijakan, memperbarui kebijakan, melampirkan kebijakan ke sumber daya, dan mengotorisasi permintaan akses pengguna. Saat pengguna mencoba melakukan tindakan pada sumber daya, aplikasi Anda membangun permintaan. Permintaan ini menyertakan informasi tentang pengguna, tindakan, dan sumber daya, serta meneruskannya ke Izin Terverifikasi. Layanan mengevaluasi permintaan dan merespons dengan keputusan IZINKAN atau TOLAK. Aplikasi Anda kemudian bertanggung jawab untuk menerapkan keputusan tersebut.

Izin Terverifikasi memvalidasi terhadap model izin kebijakan yang Anda buat dan menolak setiap kebijakan yang tidak valid. Misalnya, jika tindakan yang dijelaskan di kebijakan tidak valid untuk tipe sumber daya, aplikasi Anda dicegah membuat kebijakan. Izin Terverifikasi membantu Anda memverifikasi kelengkapan dan kebenaran kebijakan Anda. Layanan juga membantu Anda mengidentifikasi kebijakan yang secara langsung bertentangan satu sama lain, sumber daya yang tidak boleh diakses oleh pengguna mana pun, atau pengguna dengan akses yang terlalu istimewa. Layanan menggunakan bentuk analisis matematis yang disebut penalaran otomatis yang dapat menganalisis jutaan kebijakan di beberapa aplikasi.

Izin Terverifikasi membantu Anda untuk menentukan siapa yang memiliki akses ke apa dan siapa yang dapat melihat serta mengubah izin. Izin Terverifikasi mengonfirmasi bahwa hanya pengguna yang berwenang yang dapat mengubah izin aplikasi dan perubahan tersebut sepenuhnya diaudit. Auditor mendapatkan pandangan tentang siapa yang membuat perubahan dan kapan perubahan tersebut dilakukan.

Tidak. Anda harus menggunakan bahasa kebijakan Cedar untuk membuat kebijakan. Sementara Cedar dirancang untuk mendukung manajemen izin untuk sumber daya aplikasi pelanggan, bahasa kebijakan IAM berkembang mendukung kontrol akses untuk sumber daya AWS.