ワタシを忘れないでAmazon Verified Permissions2023.08.05 JAWS-UG Nagoya
View Slide
Who am I?■古賀巧(@koara__fftr) 27歳■最近 社内開発へ異動■音楽■AWS Lambda SageMaker Data Wrangler■Stirlingはトモダチ
Contents・Amazon Verified Permissions・RBACとABAC、そしてPBACへ・まとめ・感想
Amazon Verified Permissions?お客様が構築するアプリケーションのためのスケーラブルなアクセス許可の管理およびきめ細かな承認サービスです。デベロッパーと管理者は、表現力豊かで分析可能なオープンソースのポリシー言語であるCedarを使用して、ロールと属性を使用してポリシーベースのアクセス制御を定義し、よりきめ細かくコンテキストに応じたアクセス制御を行うことができます。 https://aws.amazon.com/jp/verified-permissions/
アプリケーション内の認可
RBACRole-Based Access Control - STATICな権限制御事前に定義したロールをユーザーに1つ以上割り当てて権限を制御階層構造の組織だと上手く機能するロールが1人のユーザーに特化したものではないためDAN☆DAN☆管理が難しくなっていく
ABACAttribute-Based Access Control - DYNAMICな権限制御ユーザーの属性に基づいてRBACより細かく権限を制御ABACはRBACよりも権限が動的になり管理が難しい実装・デバッグに時間がかかる
ポリシー{RBACでベースの権限を付与してABACで属性ごとの権限を追加する}Hybrid Access Control ー PBACAmazon Verified Permissions
Amazon Verified PermissionsHybrid Access Control ー PBAC・パフォーマンスは?>数百のポリシーと数千のエンティティを含む一般的な認可の検証は1ms以内に処理される らしい・可用性は?>高い可用性とスケーラビリティを実現するように設計されている らしい
CedarABACを実現するための柔軟な表現力実行速度 ( 中身はRust )可読性検証
Cedarpermit ( )でロールベースの権限を定義permit { } で属性ベースの権限を定義
Amazon Verified Permissions 料金https://aws.amazon.com/jp/verified-permissions/pricing/承認リクエスト数ポリシー管理リクエスト数 (CreatePolicy、UpdatePolicy、GetPolicy、ListPolicy API )
まとめ・使ってみた感想・良いと思ったところ権限を一元管理できる簡単に認可を実装管理が楽Cedarが読みやすい&書くのも簡単・うーーんキャッシュされないので毎リクエスト課金されるドキュメント
Amazon Verified Permissions ワークショップ