こんにちは、臼田です。
ただいまAWS最大のセキュリティカンファレンスであるre:Inforce 2023のキーノートに参加していますが、新しいリリースがありました!
Amazon Verified PermissionsがGAしました!
Amazon Verified Permissions is now generally available
概要
Amazon Verified Permissionsはユーザーアプリケーション上のアクセス制御をより原理的に正しい形で実現できるサービスです。特に認可の役割を果たします。
従来、AWS上ではなくユーザーが構築するアプリケーション上のアクセス制御の実装はすべてユーザー側に委ねられていました。各種言語やフレームワークの機能を利用してアクセス制御をすることもあれば、サーバーレスアプリケーションでは例えばAmazon Cognitoなどと連携して行うこともありました。
しかしこの制御はとても自分で実装するには複雑で難しいものでした。
Amazon Verified PermissionsはCedarと呼ばれるAWSがオープンソースとして公開しているポリシー言語を用いて明示的にコードで定義できるアクセス制御をもとに、これをコントロールすることができるサービスです。
開発する手法が宣言的で明確であり、かつこのアクセス制御の確認処理部分をマネージドで提供されるものが利用できることからスケーラビリティを確保できます。
Cedarとは
こちらを見ていただくとわかりやすいでしょう。
こんな感じのコードでアクセスを定義していくことができます。ロールベースのアクセス制御と、属性ベースのアクセス制御、つまりRBACとABACを組み合わせて利用できます。
AWS上でIAMで制御するのと同じように細かい定義と厳密な制御を実現できるとイメージするといいと思います。
細かいところは以下のセッションレポートを見ていただくといいと思います。
まとめ
Amazon Verified PermissionsがGAしました。自分たちのアプリケーションのアクセス制御の定義に悩んでいる場合、この活用を検討すると、いろんな課題が解決できると思います。
是非活用していきましょう!
11
