คำถามที่พบบ่อยเกี่ยวกับสิทธิ์ที่ยืนยันโดย Amazon

หัวข้อของหน้า

ข้อมูลทั่วไป

ข้อมูลทั่วไป

สิทธิ์ที่ยืนยันจะช่วยให้คุณปรับใช้และบังคับใช้การอนุญาตแบบละเอียดบนทรัพยากรต่างๆ ภายในแอปพลิเคชันที่คุณสร้างขึ้น และนำไปใช้จริง เช่น ระบบ HR และแอปพลิเคชันธนาคาร หากคุณมีสิทธิ์ที่ยืนยัน คุณจะสามารถดำเนินการดังต่อไปนี้ได้

  1. กำหนดรูปแบบการเข้าถึงตามนโยบายซึ่งจะอธิบายถึงทรัพยากรที่จัดการโดยแอปพลิเคชันของคุณและการดำเนินการต่างๆ (เช่น การดู การอัปเดต และการแชร์) ที่ผู้ใช้สามารถดำเนินการกับทรัพยากรเหล่านั้นได้
  2. มอบความสามารถในการเข้าถึงทรัพยากรเหล่านั้นแก่ผู้ใช้แอปพลิเคชัน โดยแอปพลิเคชันจะสร้างสิทธิ์ในการดูและอัปเดตบันทึกแก่ผู้เชี่ยวชาญ แล้วจัดเก็บสิทธิ์ดังกล่าวไว้ในสิทธิ์ที่ยืนยัน
  3. บังคับใช้สิทธิ์เหล่านั้น

คุณควรใช้งานสิทธิ์ที่ยืนยันร่วมกับผู้ให้บริการข้อมูลระบุตัวตนของคุณ เช่น Amazon Cognito เพื่อให้แอปพลิเคชันของคุณมีโซลูชันการจัดการการเข้าถึงตามนโยบายที่มีประสิทธิภาพมากยิ่งขึ้น คุณสามารถสร้างแอปพลิเคชันที่ช่วยให้ผู้ใช้ตำแหน่งข้อมูลสามารถแชร์ข้อมูลและทำงานร่วมกันควบคู่ไปกับการดูแลรักษาความปลอดภัย ความลับ และความเป็นส่วนตัวของผู้ใช้ได้ สิทธิ์ที่ยืนยันจะช่วยให้คุณสร้างแอปพลิเคชันได้รวดเร็วกว่าเดิม ทั้งยังช่วยลดต้นทุนการดำเนินงานด้วยการจัดเตรียมระบบการอนุญาตแบบละเอียดที่คุณสามารถบังคับใช้การเข้าถึงตามบทบาท รวมถึงคุณลักษณะของข้อมูลระบุตัวตนและทรัพยากรของคุณได้อีกด้วย คุณจึงสามารถกำหนดรูปแบบนโยบายของตนเอง สร้างและจัดเก็บนโยบายในพื้นที่ส่วนกลาง ตลอดจนประเมินคำขอเข้าถึงทรัพยากรได้ในระดับมิลลิวินาที โดยในฐานะเครื่องมือกำหนดนโยบาย สิทธิ์ที่ยืนยันจะช่วยให้แอปพลิเคชันของคุณตรวจสอบยืนยันการดำเนินการของผู้ใช้ได้แบบเรียลไทม์ตามที่ Zero Trust กำหนด ตลอดจนไฮไลต์สิทธิ์ที่ได้รับสิทธิ์มากเกินกว่าที่จำเป็นและไม่ถูกต้องด้วยเช่นกัน สิทธิ์ที่ยืนยันรองรับการกำกับดูแลและการปฏิบัติตามข้อกำหนด จึงมีเครื่องมือการตรวจสอบสำหรับกำหนดค่า บำรุงรักษา และวิเคราะห์สิทธิ์ในหลากหลายแอปพลิเคชันเพื่อช่วยตอบคำถามต่างๆ เช่น ใครมีสิทธิ์เข้าถึงทรัพยากรใดบ้างได้

คุณสามารถเข้าถึงสิทธิ์ที่ยืนยันโดย Amazonได้ในส่วนการรักษาความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนดภายในคอนโซลการจัดการของ AWS ทั้งยังตั้งค่าแอปพลิเคชันแรกได้ง่ายๆ ด้วยการใช้ตัวช่วยติดตั้งที่จะพาคุณเข้าสู่ขั้นตอนการกำหนดรูปแบบสิทธิ์ของแอปพลิเคชันและการสร้างสิทธิ์ต่างๆ เพื่อให้คุณสามารถใช้ API ของบริการหรือคอนโซลในการประเมินคำขอเข้าถึงทรัพยากรได้หลังจากนั้น

การใช้งานสิทธิ์ที่ยืนยันร่วมกับ Amazon Cognito และผู้ให้บริการข้อมูลระบุตัวตนรายอื่นๆ จะช่วยให้แอปพลิเคชันสำหรับผู้บริโภคของคุณมีโซลูชันการจัดการการเข้าถึงที่มีประสิทธิภาพ นักพัฒนาแอปพลิเคชันสามารถใช้ Amazon Cognito ในการจัดการข้อมูลระบุตัวตนของผู้ใช้และตรวจสอบผู้ใช้ในขั้นตอนการลงชื่อเข้าใช้ เพื่อให้สิทธิ์ที่ยืนยันสามารถระบุทรัพยากรในแอปพลิเคชันที่ผู้ใช้ที่ผ่านการตรวจสอบแล้วมีสิทธิ์เข้าถึงต่อไปได้ นอกจากนี้ คุณยังสามารถใช้บริการนี้ร่วมกับศูนย์ข้อมูลประจำตัวของ IAM เพื่อจัดการแอปพลิเคชันของบุคลากรได้ด้วยเช่นกัน

คุณต้องให้สิทธิ์แบบละเอียดในแอปพลิเคชันของตนเองเพื่อให้สิทธิ์การเข้าถึงสำหรับผู้ใช้ตามที่จำเป็นสำหรับสถาปัตยกรรม Zero Trust ระบบการให้สิทธิ์ตามนโยบายส่วนกลางช่วยให้นักพัฒนามีวิธีการที่สอดคล้องกันในด้านการกำหนดและจัดการการอนุญาตอย่างละเอียดทั่วทั้งแอปพลิเคชัน ลดความซับซ้อนของกฎการอนุญาตโดยไม่จำเป็นต้องเปลี่ยนโค้ด และปรับปรุงสิทธิ์อนุญาตด้านความสามารถการมองเห็นโดยการนำพวกเขาออกจากรหัส

คุณสามารถสร้างรูปแบบการเข้าถึงตามนโยบายที่จะอธิบายทรัพยากรที่จัดการโดยแอปพลิเคชันของคุณและการดำเนินการที่สามารถกระทำกับทรัพยากรเหล่านั้นได้ โดยทรัพยากรดังกล่าวสามารถเป็นข้อมูลระบุตัวตนที่ไม่ใช่มนุษย์ได้ด้วย เช่น อุปกรณ์หรือกระบวนการของระบบ ทั้งนี้ คุณสามารถสร้างรูปแบบของตนเองได้ผ่านคอนโซล, API หรืออินเทอร์เฟซบรรทัดคำสั่ง

ได้ สิทธิ์ที่ยืนยันสามารถนำไปใช้กับข้อมูลระบุตัวตนจากผู้ให้บริการรายต่าง ๆ เช่น Okta, Ping Identity และ CyberArk ได้

คุณสามารถกำหนดสิทธิ์ได้โดยใช้ภาษานโยบาย Cedar นโยบาย Cedar เป็นคำสั่งอนุญาตหรือห้าม ซึ่งจะเป็นตัวกำหนดว่าผู้ใช้สามารถดำเนินการกับทรัพยากรนั้น ๆ ได้หรือไม่ นโยบายเชื่อมโยงกับทรัพยากร และคุณสามารถแนบนโยบายหลายรายการกับทรัพยากรได้ และนโยบายห้ามจะมีสิทธิ์เหนือนโยบายอนุญาต วิธีนี้จะช่วยคุณสร้างกฎควบคุมระบบภายในแอปพลิเคชันของตนเองซึ่งจะป้องกันการเข้าถึงต่าง ๆ โดยจะมีนโยบายอนุญาตนโยบายใดที่บังคับใช้อยู่หรือไม่ก็ตาม

Cedar คือภาษาการควบคุมการเข้าถึงตามนโยบายที่ยืดหยุ่น ขยายได้ และปรับขนาดได้ ช่วยให้นักพัฒนาแสดงการอนุญาตของแอปพลิเคชันเป็นนโยบาย ผู้ดูแลและนักพัฒนาสามารถกำหนดนโยบายที่อนุญาตหรือห้ามผู้ใช้ดำเนินการกับทรัพยากรต่าง ๆ ในแอปพลิเคชันได้ โดยทรัพยากรหนึ่ง ๆ สามารถแนบกับนโยบายได้หลายรายการ เมื่อผู้ใช้แอปพลิเคชันของคุณพยายามดำเนินการกับทรัพยากร แอปพลิเคชันของคุณจะส่งคำขออนุญาตไปยังเครื่องมือนโยบายของ Cedar จากนั้น Cedar จะประเมินนโยบายต่างๆ ที่เกี่ยวข้องและส่งคำตัดสิน PERMIT หรือ FORBID กลับไป Cedar รองรับกฎการอนุญาตสำหรับผู้ใช้/บริการ/บัญชีที่มีอำนาจในการดำเนินการและทรัพยากรทุกประเภท อนุญาตให้มีการควบคุมการเข้าถึงตามบทบาทและคุณลักษณะ ตลอดจนรองรับการวิเคราะห์ผ่านเครื่องมือการให้เหตุผลอัตโนมัติ

เมื่อผู้ใช้แอปพลิเคชันของคุณพยายามดำเนินการกับทรัพยากร แอปพลิเคชันของคุณจะสามารถเรียกใช้ API สิทธิ์ที่ยืนยันพร้อมคำขอการให้สิทธิ์ได้ สิทธิ์ที่ยืนยันจะตรวจสอบคำขอกับนโยบายที่เกี่ยวข้องและส่งคืนคำตัดสิน ALLOW หรือ DENY ตามผลการประเมินนั้น โดยแอปพลิเคชันของคุณสามารถอนุญาตให้ผู้ใช้ดำเนินการกับทรัพยากรนั้นหรือบล็อกการดำเนินการได้ตามผลลัพธ์ข้างต้น

ใช้ API สิทธิ์ที่ยืนยันในแอปพลิเคชันของคุณเพื่อสร้างนโยบาย อัปเดตนโยบาย แนบนโยบายกับทรัพยากร รวมถึงอนุญาตคำขอเข้าถึงทรัพยากรของผู้ใช้ แอปพลิเคชันของคุณจะสร้างคำขอขึ้นเมื่อผู้ใช้พยายามดำเนินการกับทรัพยากร โดยคำขอดังกล่าวจะประกอบไปด้วยข้อมูลเกี่ยวกับผู้ใช้ การดำเนินการ และทรัพยากร และจะส่งต่อข้อมูลเหล่านี้ไปยังสิทธิ์ที่ยืนยัน ซึ่งบริการนี้จะประเมินคำขอและตอบกลับคำตัดสินด้วยค่า ALLOW หรือ DENY เพื่อให้แอปพลิเคชันของคุณดำเนินการบังคับใช้คำตัดสินดังกล่าวต่อไป

สิทธิ์ที่ยืนยันจะตรวจสอบนโยบายต่างๆ ที่คุณสร้างขึ้นกับรูปแบบสิทธิ์ และจะปฏิเสธนโยบายใดๆ ก็ตามที่ไม่ถูกต้อง ตัวอย่างเช่น หากการดำเนินการที่ระบุไว้ในนโยบายเป็นการดำเนินการที่ไม่ถูกต้องสำหรับทรัพยากรประเภทนั้นๆ ระบบก็จะไม่อนุญาตให้แอปพลิเคชันของคุณสร้างนโยบายดังกล่าวได้ สิทธิ์ที่ยืนยันจะช่วยให้คุณสามารถตรวจสอบความถูกต้องสมบูรณ์ของนโยบายของตนเองได้ นอกจากนั้นแล้วยังช่วยให้คุณสามารถระบุนโยบายที่ขัดแย้งกันโดยตรง ทรัพยากรที่ไม่มีผู้ใช้รายใดได้รับสิทธิ์การเข้าถึง หรือผู้ใช้ที่มีสิทธิ์การเข้าถึงมากเกินกว่าที่จำเป็นได้อีกด้วย บริการนี้ใช้รูปแบบการวิเคราะห์ทางคณิตศาสตร์ที่เรียกว่าการให้เหตุผลอัตโนมัติที่สามารถวิเคราะห์นโยบายนับล้านในหลากหลายแอปพลิเคชันได้

สิทธิ์ที่ยืนยันช่วยให้คุณสามารถกำหนดผู้ที่มีสิทธิ์เข้าถึงทรัพยากรต่างๆ และผู้ที่สามารถดูและปรับแต่งสิทธิ์เหล่านั้นได้ วิธีนี้จึงเป็นการยืนยันว่าจะมีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถปรับแต่งสิทธิ์ของแอปพลิเคชันได้และการเปลี่ยนแปลงดังกล่าวจะได้รับการตรวจสอบอย่างครบถ้วน นอกจากนี้ ผู้ตรวจสอบยังสามารถดูผู้ที่ดำเนินการเปลี่ยนแปลงและเวลาที่เกิดการเปลี่ยนแปลงดังกล่าวได้อีกด้วย

ไม่ได้ คุณต้องใช้ภาษานโยบาย Cedar ในการสร้างนโยบาย เนื่องจากภาษา Cedar ได้รับการออกแบบมาให้รองรับการจัดการสิทธิ์ในทรัพยากรของแอปพลิเคชันของลูกค้า ในขณะที่ภาษานโยบาย IAM ได้รับการพัฒนาให้รองรับการควบคุมการเข้าถึงทรัพยากรของ AWS