AWS、ポリシー言語「Cedar」のSDKをオープンソースで公開:ポリシーでアプリケーションアクセスをきめ細かく制御
Amazon Web Servicesは、「Amazon Verified Permissions」と「AWS Verified Access」の顧客に使用されるポリシー言語「Cedar」のSDKをオープンソースとしてリリースした。
Amazon Web Services(AWS)は2023年5月10日(米国時間)、マネージドサービスの「Amazon Verified Permissions」(プレビュー段階)と「AWS Verified Access」(プレビュー段階)の顧客に使用されるポリシー言語「Cedar」のSDKをオープンソースで公開したと発表した。
Amazon Verified Permissionsは、カスタムアプリケーション向けのスケーラブルできめ細かなアクセス許可管理および承認サービス。AWS Verified Accessは、アクセス権を付与する前に全てのアプリケーションリクエストを検証し、エンドユーザーがVPNなしで企業アプリケーションに安全にアクセスできるようにするサービスだ。
Cedarは、オープンソースのポリシー言語および評価エンジン。パーミッション(アクセス許可)を、誰が何にアクセスすべきかを記述したポリシーとして定義するための言語であり、こうしたポリシーを評価するための仕様でもある。
Cedarポリシーにより、アプリケーションの各ユーザーが何をすることを許され、どのリソースにアクセスできるかをきめ細かく制御できる。
アクセス許可を指定するCedarポリシーは、アプリケーションコードから分離されているため、独立して作成、分析、監査でき、複数のアプリケーション間で共有することもできる。
アプリケーションのコードでは、操作のリクエストの前に、Cedar SDKの認可エンジンを呼び出し、「このリクエストは認可されているか」と尋ねる。アプリケーションは、判定が「許可」であれば、リクエストされた操作を実行し、判定が「拒否」であれば、エラーメッセージを返す。
CedarのプロジェクトWebサイトでは、Cedarの特徴として以下を挙げている。
表現力
Cedarは、シンプルながら表現力豊かな言語であり、ロールベースアクセス制御(RBAC)や属性ベースアクセス制御(ABAC)といった一般的な認可モデルの認可ユースケースをサポートする。
パフォーマンス
Cedarは高速かつスケーラブルであり、そのポリシー構造は、素早く検索できるようにインデックス化され、高速でスケーラブルなリアルタイム評価をサポートするように設計されている。
分析可能
Cedarは、自動推論による正式な検証や、差分ランダムテストによる厳密なテストが可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IDガバナンス&管理(IGA)を実現するOSS「midPoint」とは
「IDガバナンス&管理」(IGA)についてOSS「midPoint」を利用したハンズオンで学ぶ連載。初回は、「IGAとは何か」から始め、その必要性について考えます。
「AWS IAM」の「ABAC」で、ポリシーを変更せずにユーザー/リソース数の多いプロジェクトに対応する
「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「属性ベースアクセスコントロール」(ABAC)について解説する。
モデリング言語「TLA+」の開発、普及を促進する非営利団体を設立:Linux Foundation
Linux Foundationは、非営利団体「TLA+ Foundation」の設立を発表した。TLA+ Foundationは、モデリング言語「TLA+」の開発と普及や、TLA+を利用する実務者コミュニティーの構築と発展を促進することを目的としている。