Semantic-based Automated Reasoning for AWS Access Policies using SMT

最新推荐文章于 2024-04-27 16:58:05 发布
VIP文章 最新推荐文章于 2024-04-27 16:58:05 发布
阅读量217 收藏
点赞数
分类专栏: AWS 读文章 文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/122327400
版权

Semantic-based Automated Reasoning for AWS Access Policies using SMT

Introduction

  • 访问控制策略是对哪些资源可以访问、由谁访问以及在什么条件下访问的表达性规范。
  • 云客户想要一个工具,允许他们根据安全要求检查策略配置
  • AWS 提供了一种policy language
    • allow statements
    • deny statements
    • 语句中的条件可以基于访问详细信息,如源地址、加密和其他配置选项
  • 99%的policy questions —— 160 milliseconds
  • AWS的特点
    • AWS策略语言是根据JSON序列化定义的,旨在用于各种云服务和访问控制场景
    • ZELKOVA将政策语言的所有组件合并到一个分析工具中

Approach

  • 当向AWS服务提出访问请求时,将生成一个请求上下文,其中包括提出请求的主体、请求的资源和请求的具体操作。
  • 策略评估引擎将此请求上下文与用户和资源的策略进行比较,以确定是否授予或拒绝访问。
  • ZELKOVA通过对所有可能的请求上下文进行推理来验证AWS策略。
  • ZELKOVA的基本机制是能够说出一种政策是否比另一种政策更宽松。

Policy language overview

  • AWS policy language
    在这里插入图片描述
    • Effect : whether the statement allows or denies access (默认值:deny)
      • 允许语句覆盖默认权限,拒绝语句覆盖允许语句授予的权限。
      • policy中没有顺序的概念
    • Principal : 指定哪些用户、帐户、服务或实体被授予或拒绝访问资源
    • Action : 指定了相应资源上允许或拒绝的操作列表
    • Resource : 指定授予或拒绝访问的服务特定资源的列表
    • Condition : 规定了授予或拒绝访问权限的条件

Example

  • Amazon Simple Storage Service (S3)
    • object store
    • a logical unit of storage is called a bucket
    • uniquely identified through an Amazon Resource Name (ARN)
    • 附加到bucket上的策略控制对bucket和bucket中对象的访问
      在这里插入图片描述
  • Encoding of the policies
    在这里插入图片描述
    • To determine if policy X X X is less-or-equally-permissive than policy Y Y Y , ZELKOVA uses SMT solvers to check if
      ( X 0 ∨ X 1 ) ⇒ ( Y 0 ∧ ┐ Y 1 ) (X_0 \lor X_1) \Rightarrow (Y_0 \land \urcorner Y_1) (X0X1)(Y0Y1)

SMT Encoding

  • 策略授予的权限被编码为允许语句授予的,并不被拒绝声明撤销的所有权限:
    ( ⋁ S ∈ A l l o w [ [ S ] ] ) ∧ ┐ ( ⋁ S ∈ D e n y [ [ S ] ] ) (\bigvee_{S \in Allow} [[S]]) \land \urcorner(\bigvee_{S \in Deny} [[S]]) (SAllow[[S]])(SDeny[[S]])
    其中 [ [ S ] ] [[S]] [[S]]代表权限集合
  • 策略中的每个语句都对主体、操作、资源和条件的约束进行编码:
    [ [ S ] ] : = ( ⋁ v ∈ P ( S ) p = v ) ∧ ( ⋁ v ∈ A ( S ) a = v ) ∧ ( ⋁ v ∈ R ( S ) r = v ) ∧ ( ⋀ O ∈ C ( S ) [ [ O ] ] ) [[S]] := (\bigvee_{v \in P(S)} p = v) \land (\bigvee_{v \in A(S)} a = v) \land (\bigvee_{v \in R(S)} r = v) \land (\bigwedge_{O \in C(S)} [[O]]) [[S]]:=(vP(S)p=v)(vA(S)a=v)
最低0.47元/天 解锁文章
你的名字5686
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
semantic-ui-calendar-react:Datepicker React组件基于语义UIReact组件
05-14
npm i semantic-ui-calendar-react CDN < script src =" https://cdn.jsdelivr.net/npm/semantic-ui-calendar-react@latest/dist/umd/semantic-ui-calendar-react.js " > </ script > 然后,您可以像...
鸿蒙 形式化验证,形式化验证在网络中的应用
weixin_39629876的博客
05-28 418
作者简介:唐昊,现就职于华为,从事云网络研发工作。IBN(基于意图的网络)是近年来网络领域中最热门的话题之一,网络验证是其中最关键的环节。我们在此之前一直专注于网络配置的自动化,例如根据模板创建配置进行编排并在网络上部署,这确实可以有效的减少人为上操作错误。但是随着网络基础设施变得越来越复杂,网络规模也越来越大,验证是否能够达到预期结果也至关重要。对网络验证领域的研究最早是在学术研究实验室,比如卡...
计算机类顶级会议排名+投稿经验
热门推荐
程序猿进化梯
06-26 8万+
英文投稿的一点经验【转载】 From: http://chl033.woku.com/article/2893317.html 1. 首先一定要注意杂志的发表范围, 超出范围的千万别投,要不就是浪费时间;另外,每个杂志都有他们的具体格式要求,一定要按照他们的要求把论文写好,免得浪费时间,前些时候,我的一个同事向一个著名的英文杂志投稿,由于格式问题,人家过两个星期就退回来了,而且说了很多难听的话,说投稿前...
【MultiNet 解读】Real-time Joint Semantic Reasoning for Autonomous Driving
不积跬步,无以至千里!
10-08 1524
本文发表于2018年 IEEE IV上,提出了一种联合分类、检测和语义分割的方法 MultiNet,该方法使用一个统一的架构,其中编码器在三个任务之间共享。该方法结构简单,可以进行端到端的训练,并且在具有挑战性的KITTI数据集中表现得非常好。
Guidance and Evaluation: Semantic-Aware Image Inpainting for Mixed Scenes 论文解读和感想
qq_37614597的博客
03-13 6296
Guidance and Evaluation: Semantic-Aware Image Inpainting for Mixed Scenes 背景和动机 本文的基本出发点和SPG相似,都是通过获得缺失图像的完整语义分割图像,然后通过语义分割图像引导缺失图像的修复。但是相对于最原始的SPG模型,本文提出了其两个不足之处: 1、在混合场景,直接从缺失图像预测真实图像的语义分割信息是一个困难的任务,而不准确的语义分割信息将会极大降低后续图像inpainting的质量。 2、图像inpainting和语义分割
gradle-semantic-release-plugin:Gradle项目的自动发布管理
02-04
Gradle项目的语义发布插件另一个gradle-semantic-release-plugin调用Gradle包装器脚本来发布。前提要应用此语义发布插件,您需要满足以下前提条件: 您的Gradle项目应通过gradle.properties (而不是build.gradle或...
A semantic-based P2P resource organization model R-Chord
02-06
This paper proposes a semantic-based P2P resource organization model R-Chord by incorporating the Resource Space Model (RSM), the P2P Semantic Link Network Model (P2PSLN) and the DHT Chord protocol....
ember-semantic-ui-calendar:Ember的语义UI日历组件
02-05
ember install ember-semantic-ui-calendar 有用的网址 寻找帮助? 如果是错误,。 用法 您可以在看到用法示例。 发展历程 要发布和发布新版本,请使用以下命令: ember release (--major|--minor|--patch) yarn ...
semantic-ui 官方文档最新版 前端开发福利
02-17
资源内容:Semantic-ui 官方文档英文版,中文版可借助浏览器插件翻译,前端开发人员福利
如何最大程度使用AWS
九河云的创作之路
04-25 320
AWS提供了丰富的自动化工具和服务,如AWS Lambda、Amazon CloudFormation等,帮助简化运维工作,提高效率。随着云计算技术的不断发展,AWS已经成为众多企业的首选,为其提供了强大的基础设施和服务。AWS的服务和功能不断更新和改进,因此持续优化和改进用户的AWS架构非常重要。定期评估用户的架构和性能,了解新的AWS功能和最佳实践,以确保用户始终处于最佳状态。通过了解需求、灵活付费、自动化扩展、加强安全和持续优化,您可以构建可靠、高效的AWS架构,实现业务的持续增长和创新。
揭密 scaling laws
最新发布
liangdaojun的博客
04-27 273
OpenAI 在其早期的关于 scaling laws 的论文 [1] 中提出了基础理论,但该文缺乏一些具体的求解过程,且未能在更大规模的模型上进行验证。论文探究了原始 scaling laws 研究所遗漏的细节,复现一套可靠和精确的 scaling laws 公式,揭示了 ChinChilla 研究结果与 OpenAI 理论不一致的根本原因(数据分布和长下文长度不同)。相较于使用无限大的 batch size,需要双倍的训练步数来达到同样的 loss 值。
从阿里云OSS迁移到AWS S3的步骤
九河云的创作之路
04-24 395
总之,从阿里云对象存储迁移到AWS对象存储需要全面规划和谨慎执行,涉及多个环节和考虑因素。我们九河云在多名专业架构人员,通过合理的迁移策略和工具选择,企业可以顺利完成数据迁移,享受AWS对象存储带来的各种优势,为业务发展提供有力的数据存储支持。在正式迁移时,需要制定详细的迁移计划和时间表,并密切监控迁移进度。可以先在测试环境中进行小规模迁移测试,验证迁移过程和结果,并根据测试结果进行必要的调整和优化。迁移完成后,需要进行后期优化和维护工作,如调整存储类别、生命周期策略等,以降低存储成本。
AWS ECS Fargate 实现批量启用部署断路器
TechEnthusiast的博客
04-23 246
AWS Elastic Container Service (ECS) 中,部署断路器是服务滚动更新过程中的一项重要功能。它可以持续监控新版本任务的运行状况,判断它们是否已达到稳定状态。如果新版本任务无法正常运行,部署断路器将自动停止部署并回滚到先前的稳定版本,从而确保服务的高可用性。启用部署断路器是一种最佳实践,可以降低由于新任务定义部署失败而导致的服务中断风险。然而,手动为每个服务启用部署断路器是一项繁琐的工作,尤其是在服务数量较多的情况下。
AWS SES发送邮件如何正确配置?操作指南?
danplus的博客
04-25 375
正确配置AWS SES发送邮件是确保企业邮件通信顺畅的关键一步。AokSend,API/SMTP接口无缝对接,AWS SES助力,一键发送,高效稳定,让您的邮件营销更轻松,更专业!
AWS ECS Fargate 批量禁止公网访问
TechEnthusiast的博客
04-23 571
列出指定 ECS 集群中的所有服务检查每个服务的网络配置如果服务使用公共子网,则更新其配置以使用私有子网和 NAT 网关在更新配置后,等待一段时间再处理下一个服务,以避免频繁更新导致的问题。
批量更新 AWS ECS Fargate 服务
TechEnthusiast的博客
04-23 222
AWS ECS Fargate 是一种全托管的容器部署服务,可以帮助用户轻松地管理和运行容器化的应用程序。在实际应用中,经常需要对多个服务进行更新以保持系统的稳定性和安全性。本文将介绍如何使用 Python SDK 批量更新 AWS ECS Fargate 服务,并提供完整的代码示例。
从阿里云迁移Redis到AWS的规划和前期准备
九河云的创作之路
04-24 512
根据您的需求和预算,您可以选择AWS提供的几种Redis产品:Amazon ElastiCache for Redis、Amazon MemoryDB for Redis或自托管Redis on EC2。通过周密的规划和前期准备,您可以更顺利地将Redis实例从阿里云迁移到AWS,并最大化这一迁移带来的好处。在将Redis实例从阿里云迁移到AWS之前,需要进行全面的规划和前期准备。在实际迁移之前,请进行充分的测试和验证,确保新的Redis实例能够正常工作,并且应用程序能够正确访问和使用它。
深度解析:云计算的三宝——IaaS、PaaS和SaaS
weixin_62641226的博客
04-23 1142
因此,PaaS也是SaaS模式的一种应用。把服务器平台作为一种服务提供的商业模式,通过网络进行程序提供的服务称之为SaaS(Software as a Service),是云计算三种服务模式之一,而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS。4月22日,腾讯宣布旗下协作SaaS产品全面接入腾讯混元大模型,除去企业微信、腾讯会议、腾讯文档等“一门三杰”产品,腾讯乐享、腾讯电子签、腾讯问卷、腾讯云AI代码助手等协作SaaS产品也都已实现智能化升级。大模型应用落地再加速。
exploration of deep learning-based multimodal fusion for semantic road scene
12-16
深度学习在语义道路场景的多模态融合中的探索是一项研究任务,目的是通过结合多种视觉和感知模态的信息,提升对道路场景的语义理解能力。 在这个任务中,我们使用深度学习的方法来处理不同模态的数据,如图像、激光...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值