Amazon Verified PermissionsのWorkshopをやってみた

JAWS-UG 名古屋 Amazon Verified Permissions のWorkshopをやってみた２０２３年８月５日

自己紹介  名前:田中隆博（すえぞう）  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当
 好きなAWSサービス:EC2、CDK

はじめに  今日お話しすること Amazon Verified Permissions Workshopをやってみての気づき（https://catalog.workshops.aws/verified-permissions-in-action/en-US）  今日、お話しないこと
Amazon Verified Permissionsを使ってのアプリケーション開発の細かい点

まずAmazon Verified Permissionsについて  Amazon Verified Permissions（以下、⾧いのでAVPと略します）は、アプリケーションが各種リソースにアクセスする際の認可部分を提供するサービス  公式ドキュメント的には
 Amazon Cognitoなどの任意のidPと組み合わせて利用  権限の管理を外部化  動的でリアルタイムな権限判断

どうやって制御するのか?  AVPでは、（IAMと用語が混ざりますが）ポリシーを使って権限を記述します。  ポリシーを記述するにはJSONによく似たCedarを使って記述をします。ポリシーストアポリシーA permit(principal, action, resource)
when { principal == resource.owner} ; ポリシーB permit( principal, action in [ TinyTodo::Action::”CreateList”], resource ); ポリシーでは、プリンシパル、アクション、リソースを定義することができます。左の例では、ポリシーAはリソースのオーナであれば許可され、ポリシーBではCreateListアクションだけが許可されるポリシーとなっています。

どうやって制御するのか?  ポリシーには「静的ポリシー」と「テンプレートリンクポリシー」の2つがあります。  テンプレートリンクポリシーは、ポリシー内にプレイスホルダが設定できるポリシーで、動的にポリシーを作成することが可能です。  注意事項  プレイスホルダに指定できる項目は「プリンシパル」と「リソース」の2つだけ

どうやってアプリ側から使うのか?  Workshopで作成されたLambda「TinyTodoApiLambda」の中を見てみると  ここで利用しているpermissions自体は、boto3でのpermissionsのAPI操作ラッピングしている permissions_check関数で task_listに対するアクセス権限をチェック作成しているポリシーストアとポリシーテンプレートのIDを指定

どうやってアプリ側から使うのか? is_authorized関数を使って権限をチェックして結果を返却

is_authorized関数の中身は?  boto3の公式ドキュメントだと  パラメータに記述されたサービス要求について認可決定を行う。パラメータ内の情報は、Verified Permissions が評価に含めることができる追加のコンテキストを定義することもできます。リクエストは指定されたポリシーストア内の全てのマッチするポリシーに対して評価される。判定結果は Allow か
Deny のどちらかであり、判定結果となったポリシーのリストも表示される。（DeepL訳）  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions/client/is _authorized.html

まとめ  AVP自体は、認可のチェックしかしないから、別途IAMの設定は必要…  複雑なアクセス制御じゃなければ、Condition句にcognitoのuser_id指定してやればいいんじゃないか?、という思いもやってみて思う。

参考資料  Boto3のVerified Permissionsに関するリファレンス  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions.html  Verified Permissionsユーザガイド 
https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/what-is-avp.html  JAWS-UG 名古屋で発表したCaderの資料  https://speakerdeck.com/ledsue/whatsthecedar

Amazon Verified PermissionsのWorkshopをやってみた

Amazon Verified PermissionsのWorkshopをやってみた

Takahiro Tanaka

More Decks by Takahiro Tanaka

Other Decks in Technology

Featured

Transcript

JAWS-UG 名古屋 Amazon Verified Permissions のWorkshopをやってみた２０２３年８月５日

自己紹介  名前:田中隆博（すえぞう）  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

はじめに  今日お話しすること Amazon Verified Permissions Workshopをやってみての気づき（https://catalog.workshops.aws/verified-permissions-in-action/en-US）  今日、お話しないこと

まずAmazon Verified Permissionsについて  Amazon Verified Permissions（以下、⾧いのでAVPと略します）は、アプリケーションが各種リソースにアクセスする際の認可部分を提供するサービス  公式ドキュメント的には

どうやってアプリ側から使うのか? is_authorized関数を使って権限をチェックして結果を返却

まとめ  AVP自体は、認可のチェックしかしないから、別途IAMの設定は必要…  複雑なアクセス制御じゃなければ、Condition句にcognitoのuser_id指定してやればいいんじゃないか?、という思いもやってみて思う。

参考資料  Boto3のVerified Permissionsに関するリファレンス  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions.html  Verified Permissionsユーザガイド 