轻松授权!如何在App内使用亚马逊验证权限

关键字: [Amazon Web Services re:Invent 2023, Amazon Verified Permissions, Fine-Grained Authorization, Least Privilege Access, Cedar Policy Language, Batch Authorization, Response Caching]

本文字数: 1400, 阅读完需: 7 分钟

视频

如视频不能正常播放,请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1zM411d7kG

导读

当您将策略制定与应用程序开发分离时,您可以比以前移动得更快。Amazon Verified Permissions使用策略存储、策略模板和策略测试来简化应用程序中的授权。加入此课程来了解Verified Permissions的新功能,这些功能进一步简化了模式编辑和策略分析。还探讨这些功能如何帮助开发人员批量授权操作和资源,进一步减少延迟,使亚马逊云科技用户外部化其授权更具成本效益。

演讲精华

以下是小编为您整理的本次演讲的精华,共1100字,阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。

演讲由亚马逊权限验证的产品经理朱利安·洛夫洛克开始,他欢迎软件开发者们参加会议,探讨如何在应用程序中使用亚马逊权限验证进行授权。首先,他进行了一次非正式的投票,询问与会者是否从事专业软件开发和应用构建工作。朱利安预计有很多人确认他们积极开发应用。

朱利安表示,任何应用程序开发者都需要构建权限管理的关键部分。例如,一个用于绩效评估的HR系统需要控制对不同类型员工评估的访问。银行应用需要权限来管理谁可以查看账户,他们可以查看哪些账户,以及他们被允许进行哪些交易。

在历史上,朱利安解释道,开发者直接将权限逻辑构建到他们的应用程序代码中。例如,电子病历系统的开发者可能会硬编码指定哪些护士可以访问哪些患者记录的逻辑。然而,当需要了解应用程序使用户能够访问什么,或需求发生变化且代码需要更新以反映新规则和法规时,这可能会成为一个问题。如果没有对权限逻辑的可见性,审计也变得具有挑战性。

为了解决这些问题,亚马逊权限验证提供了精细的授权能力。授权逻辑通过Cedar政策来表达,而亚马逊权限验证提供API来管理策略并在用户执行操作时检查权限。

朱利安回顾了产品的发展历程,该产品在2021年11月的亚马逊云科技re:Invent上进行了有屏障的预览。2022年6月,Cedar政策语言与评估引擎SDK一起开源。同年6月底,托管的权限验证服务在所有商业亚马逊云技术区域中正式可用。

朱利安强调了托管服务的一些关键功能,包括CloudTrail日志记录、CloudFormation部署支持,以及与Amazon Cognito的认证集成。

该产品通过提供预构建的权限管理功能,助力开发者更快地构建应用程序,避免他们自行开发此类功能的定制化代码。同时,这也使得实施最小权限策略成为可能,将用户限制在他们实际所需的任务操作上。对于安全团队而言,经过验证的权限管理功能利用Cedar语言实现了跨多个应用程序的集中化管理策略,从而简化了合规审计工作,提高了跨应用程序的权限逻辑可见性。随着交易量的增加,该服务能够自动扩展。随后,Julian介绍了来自Tellus的Edwin,该公司是加拿大最大的通信服务提供商之一,同时也是北美最大的健康IT提供商。Edwin解释道,Tellus在亚马逊云科技上构建了一个智能家居平台即服务,采用了无服务器和DynamoDB等全托管服务。这个平台支持多租户模式,允许每个租户独立隔离并掌控自己的实施方案。该平台是基于事件的,具备规则引擎和AI技术,用以理解家庭环境中的相互依赖关系。Tellus既是其智能家居平台的供应商,也是其消费者。该平台可以与智能手机应用、语音助手以及后台系统进行集成。用户可以在用户、操作和设备层面实现精细化的权限设置。例如,房主可以设置策略,如允许他们的孩子控制房屋某些区域的灯光,或者允许邻居临时访问车库以交付包裹。平台的安全授权要求包括安全性、可审计性、数据驱动性、快速性、可扩展性和高可用性。在经过评估之后,Tellus选择了Verified Permissions以满足这些需求。Edwin详细描述了他们如何借助API Gateway和Lambda授权器来检查权限的过程。他还展示了一些示例性的Cedar政策,比如允许特定用户组访问自家家庭的API进行管理等。策略还可以根据诸如用户的订阅计划等因素动态生成。Edwin强调,相较于投资数月时间构建自己的定制引擎,选择完全托管的Verified Permissions服务能带来诸多益处,如缩短市场推广时间。此外,在规模扩大的过程中,该服务将更加经济高效。

接下来,Abhishek上台进行现场演示,展示了一个电子商务“玩具店”应用程序示例,以说明在使用Amazon验证权限时如何进行性能优化。

该演示应用程序具有两种用户类型:负责履行订单的包装员,以及监督运营的公司经理。Abhishek展示了如何为他们强制执行最小权限原则,使每个角色只能访问他们需要的数据。例如,包装员只能查看他们所在部门的订单并挑选商品,而不能访问其他部门的订单。

在初始未优化的版本中,每个订单列表中的物品都需要单独调用Amazon验证权限来检查权限,加载20个订单大约需要500毫秒。Abhishek通过使用批量授权来一次性检查整个20个订单列表的权限,将加载时间减少到70-80毫秒,从而使页面加载速度提高了约6倍。

接着,他通过缓存授权决策来优化API权限,从而将呼叫次数从3次减少到1次(通过批量处理和缓存)。例如,在加载需要获取订单详情、标签和收据的订单详情页时,它会一次性进行所有三次权限检查并将结果缓存。

Julian总结了这些优化技巧:首先过滤列表进行批量授权以提高用户体验,以及响应缓存以缓存授权决策。他强调了Steady公司的客户案例,该公司预计每月将通过这些优化处理7亿笔交易。

最后,Julian鼓励与会者通过提供的QR码访问演示应用程序的公共GitHub存储库。他还推荐了一些对Amazon验证权限感兴趣的观众参加即将举行的Amazon Web Servicesre:Invent的一些会议。

这次演讲全面介绍了亚马逊Amazon验证权限,并通过实际客户案例展示了如何使用它。现场演示应用程序清楚地说明了如何像批量授权和响应缓存这样的优化技术来提高性能。在产品介绍、客户用例和演示之间,观众可以充分理解如何在自己的应用程序中利用这项服务来实现精细粒度的授权。

下面是一些演讲现场的精彩瞬间:

朱利安·洛夫洛克,一位产品经理,在演讲开始前向观众介绍了他和他的团队。

他们所开发的产品旨在帮助开发者管理其应用程序内部的权限,如控制和审计对帐户和交易的访问。

作为亚马逊云科技的一部分,Verified Permissions功能提供了跨应用程序的集中化管理策略,从而简化了合规审计并实现了最小特权原则。

亚马逊云科技具备使用特征标志和重新生成策略的功能,即使在不同地区之间也能提供灵活的认证和授权。

通过Amazon Verified Permissions,亚马逊云科技能够高效地授权每月数亿次的EDI交易。

此外,亚马逊云科技还推出了批量授权和响应缓存功能,以优化应用程序中高交易量的授权过程。

最近,领导者在re:Invent上宣布了新推出的亚马逊云科技产品Reinforce,并邀请观众参加将于6月10日至12日举行的会议以了解更多详细信息。

总结

亚马逊验证权限技术使开发人员能够将授权逻辑从应用程序代码中分离出来,并通过集中管理以Cedar(一种开放式策略语言)形式表达。这有助于加速开发进程、简化审计流程并提高具有最低权限访问的应用程序的安全性。

此服务包含两个API - 一个用于控制策略和模式的管理面API,另一个是在用户请求时评估策略并进行访问决策的数据面API。该技术在2022年6月正式推出,经过测试阶段的检验。

智能家庭平台Tellus利用亚马逊验证权限来管理设备功能、用户角色和客户计划的授权。这使得动态策略生成和大规模上的毫秒级请求评估成为可能。

在本次演讲中,展示了性能优化技巧,例如针对用户体验权限的批量评估以及对API权限的响应缓存。这些技巧通过减少对验证权限的调用,将一个示例应用的页面加载时间从500毫秒降低至80毫秒。

亚马逊诚邀开发者尝试示例应用,并了解更多关于如何使用亚马逊验证权限构建安全、高性能应用程序的信息。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134838553

想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处,一键获取亚马逊云科技全球最新产品/服务资讯!

点击此处,一键获取亚马逊云科技中国区最新产品/服务资讯!

即刻注册亚马逊云科技账户,开启云端之旅!

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁?

亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务,涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及 31 个地理区域的 99 个可用区,并计划新建 4 个区域和 12 个可用区。全球数百万客户,从初创公司、中小企业,到大型企业和政府机构都信赖亚马逊云科技,通过亚马逊云科技的服务强化其基础设施,提高敏捷性,降低成本,加快创新,提升竞争力,实现业务成长和成功。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李白的朋友高适

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值