Amazon Verified Permissionsをプロダクトにどう組み込むかを考える

Amazon Verified Permissionsをプロダクトにどう組み込むかを考える 2023/11/15 JAWS-UG横浜 #61 AWS re:Invent
2023 去年のアレどうなった？スペシャル依田涼太

依田涼太 Ryota YODA • 某SIer所属の入社５年目 • テックリードとしてアプリ・インフラを幅広く担当 •
AWSではサーバレス系のサービスを使うことが多い @YodeeeTech

Amazon Verified Permissions (AVP) • 2023/6 GA • アプリケーション上のアクセス許可ルールの管理と認可の機能を提供
• 認可ルールをビジネスロジックから切り離し、責務の分離とルールの一元管理が可能に

Amazon Verified Permissions (AVP) • 2023/6 GA • アプリケーション上のアクセス許可ルールの管理と認可の機能を提供
• 認可ルールをビジネスロジックから切り離し、責務の分離とルールの一元管理が可能に正直、あまりイメージわかない

AVPをプロダクトにどう組み込むかを考える

前提： AVP登場前のアプリケーション構成

Cognito 例としてユーザ管理サービスを考えるアイディティティプロバイダーとしてCognitoを使用 Backend Lambda EC2 ECS ・・・ AVP登場前のアプリケーション構成 API
Gateway Role: Editor カスタム属性情報として、ロール情報を管理

Cognito ① 認証 IDトークン ② GET
/users 例としてユーザ管理サービスを考えるアイディティティプロバイダーとしてCognitoを使用 Backend Lambda ③Cognito Authorizer トークン検証 EC2 ECS ・・・ AVP登場前のアプリケーション構成 • 認可判定 • 業務ロジック API Gateway ④ Role: Editor カスタム属性情報として、ロール情報を管理

Cognito ① 認証 IDトークン ② GET
/users AVP登場前はバックエンドに細かい認可処理を実装する必要があった Backend ③Cognito Authorizer トークン検証 AVP登場前のアプリケーション構成 • 認可判定 • 業務ロジック API Gateway ④ Role: Editor if (role === "editor") { if (resource === "users") { if (method === ”GET”) { return ”ALLOW"; } . . . } } if (role == "viewer") { . . . } if (role === "admin") { . . . }

パターン１：バックエンド側でAVPを呼び出し認可判定を行う

API Gateway Cognito Role: Editor • 認可判定 • AVP認可要求 •
業務ロジック Verified Permissions 1. バックエンド側でAVPを呼び出し認可判定を行うパターン GET /users トークン検証認可判定 Backend IDトークン認証

業務ロジック Verified Permissions 1. バックエンド側でAVPを呼び出し認可判定を行うパターン GET /users トークン検証認可判定 Backend IDトークン Verified Permissions Cedar言語で認可ルールを定義認可ロジックはLambdaからAVPのポリシーに移譲認証

業務ロジック Verified Permissions 1. バックエンド側でAVPを呼び出し認可判定を行うパターン認証 GET /users トークン検証認可判定 Backend IDトークン Verified Permissions Cedar言語で認可ルールを定義バックエンドでは認可ロジックの実装の代わりに AVP呼出、認可判定結果のハンドリング処理の実装が必要 const client = new VerifiedPermissionsClient(); const result = await client.send( new IsAuthorizedWithTokenCommand({ identityToken: idToken, . . . }) ); return result.decision // ”ALLOW” or “DENY”

パターン２： Lambda Authorizerに認可処理を集約する

2. Lambda Authorizerに認可処理を集約するパターン Lambda Authorizer上で認可に関わる処理を集約バックエンドから認可ロジックが完全に切り離された状態になる API Gateway Cognito Role:
Editor Lambda Authorizer 認証 GET /users IDトークン Backend ①トークン検証 ②認可判定 Verified Permissions

API Gateway Cognito Role: Editor Verified Permissions Lambda Authorizer 2.
Lambda Authorizerに認可処理を集約するパターン Cognito Authorizerが自動で行っていたトークン検証を含めて実装が必要となる認証 GET /users IDトークン Backend ①トークン検証 ②認可判定 try { // トークン検証(Cognito) const verifier = CognitoJwtVerifier.create(...); await verifier.verify(idToken); // 認可判定(Verified Permissions) const client = new VerifiedPermissionsClient(); const result = await client.send( new IsAuthorizedWithTokenCommand({ . . . }) ); if (result === "DENY") { throw new Error("Unauthorized"); } return generatePolicy("user", "Allow” ...); } catch (error) { . . . ※AWS公式から下記のトークン検証用のライブラリが提供 aws-jwt-verify(Node.js用): https://github.com/awslabs/aws-jwt-verify ② ① Lambda Authorizerの実装例（一部抜粋）

まとめ • AVPを利用することで、認可ポリシーをバックエンドから切り離すことが可能 • 完全に認可ロジックを分離させるためには行うためには、 Lambda AuthorizerでAVPを呼び出す等の工夫が必要

参考 • Amazon Verified Permissions関連 • Amazon Verified Permissions のご紹介
https://pages.awscloud.com/rs/112-TZM-766/images/20230126_26th_ISV_DiveDeepSeminar_verified_permissions.pdf • Amazon Verified Permissionsを利用した責務の分割のメリット・デメリット https://speakerdeck.com/kaminashi/advantages-and-disadvantages-of-separation-of-responsibilities-using-amazon-verified-permissionsCognito • Amazon Verified Permissionsで、APIの認可処理を実装する https://catalog.workshops.aws/verified-permissions-in-action/en-US • ハンズオン資料 https://catalog.workshops.aws/verified-permissions-in-action/en-US • 認証・認可関連 • 一番分かりやすいOAuthの説明 https://qiita.com/TakahikoKawasaki/items/e37caf50776e00e733be • 一番分かりやすい OpenID Connect の説明 https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe • OAuth 2.0/OpenID Connectの2つのトークンの使いみち https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe

Amazon Verified Permissionsをプロダクトにどう組み込むかを考える

Amazon Verified Permissionsをプロダクトにどう組み込むかを考える

Yodeee

More Decks by Yodeee

Featured

Transcript