轻松授权!如何在App内使用亚马逊验证权限

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC241-How_to_use_Amazon_Verified_Permissions_for_authorization_inside_apps-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 当您将策略制定与应用程序开发分离时,您可以比以前移动得更快。[Amazon Verified Permissions](https://aws.amazon.com/cn/verified-permissions/?trk=cndc-detail)使用策略存储、策略模板和策略测试来简化应用程序中的授权。加入此课程来了解Verified Permissions的新功能,这些功能进一步简化了模式编辑和策略分析。还探讨这些功能如何帮助开发人员批量授权操作和资源,进一步减少延迟,使亚马逊云科技用户外部化其授权更具成本效益。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲由亚马逊权限验证的产品经理朱利安·洛夫洛克开始，他欢迎软件开发者们参加会议，探讨如何在应用程序中使用亚马逊权限验证进行授权。首先，他进行了一次非正式的投票，询问与会者是否从事专业软件开发和应用构建工作。朱利安预计有很多人确认他们积极开发应用。 朱利安表示，任何应用程序开发者都需要构建权限管理的关键部分。例如，一个用于绩效评估的HR系统需要控制对不同类型员工评估的访问。银行应用需要权限来管理谁可以查看账户，他们可以查看哪些账户，以及他们被允许进行哪些交易。 在历史上，朱利安解释道，开发者直接将权限逻辑构建到他们的应用程序代码中。例如，电子病历系统的开发者可能会硬编码指定哪些护士可以访问哪些患者记录的逻辑。然而，当需要了解应用程序使用户能够访问什么，或需求发生变化且代码需要更新以反映新规则和法规时，这可能会成为一个问题。如果没有对权限逻辑的可见性，审计也变得具有挑战性。 为了解决这些问题，亚马逊权限验证提供了精细的授权能力。授权逻辑通过Cedar政策来表达，而亚马逊权限验证提供API来管理策略并在用户执行操作时检查权限。 朱利安回顾了产品的发展历程，该产品在2021年11月的亚马逊云科技re:Invent上进行了有屏障的预览。2022年6月，Cedar政策语言与评估引擎SDK一起开源。同年6月底，托管的权限验证服务在所有商业亚马逊云技术区域中正式可用。 朱利安强调了托管服务的一些关键功能，包括CloudTrail日志记录、CloudFormation部署支持，以及与[Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail)的认证集成。 该产品通过提供预构建的权限管理功能，助力开发者更快地构建应用程序，避免他们自行开发此类功能的定制化代码。同时，这也使得实施最小权限策略成为可能，将用户限制在他们实际所需的任务操作上。对于安全团队而言，经过验证的权限管理功能利用Cedar语言实现了跨多个应用程序的集中化管理策略，从而简化了合规审计工作，提高了跨应用程序的权限逻辑可见性。随着交易量的增加，该服务能够自动扩展。随后，Julian介绍了来自Tellus的Edwin，该公司是加拿大最大的通信服务提供商之一，同时也是北美最大的健康IT提供商。Edwin解释道，Tellus在亚马逊云科技上构建了一个智能家居平台即服务，采用了[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)和DynamoDB等全托管服务。这个平台支持多租户模式，允许每个租户独立隔离并掌控自己的实施方案。该平台是基于事件的，具备规则引擎和AI技术，用以理解家庭环境中的相互依赖关系。Tellus既是其智能家居平台的供应商，也是其消费者。该平台可以与智能手机应用、语音助手以及后台系统进行集成。用户可以在用户、操作和设备层面实现精细化的权限设置。例如，房主可以设置策略，如允许他们的孩子控制房屋某些区域的灯光，或者允许邻居临时访问车库以交付包裹。平台的安全授权要求包括安全性、可审计性、数据驱动性、快速性、可扩展性和高可用性。在经过评估之后，Tellus选择了Verified Permissions以满足这些需求。Edwin详细描述了他们如何借助API Gateway和Lambda授权器来检查权限的过程。他还展示了一些示例性的Cedar政策，比如允许特定用户组访问自家家庭的API进行管理等。策略还可以根据诸如用户的订阅计划等因素动态生成。Edwin强调，相较于投资数月时间构建自己的定制引擎，选择完全托管的Verified Permissions服务能带来诸多益处，如缩短市场推广时间。此外，在规模扩大的过程中，该服务将更加经济高效。 接下来，Abhishek上台进行现场演示，展示了一个电子商务“玩具店”应用程序示例，以说明在使用Amazon验证权限时如何进行性能优化。 该演示应用程序具有两种用户类型：负责履行订单的包装员，以及监督运营的公司经理。Abhishek展示了如何为他们强制执行最小权限原则，使每个角色只能访问他们需要的数据。例如，包装员只能查看他们所在部门的订单并挑选商品，而不能访问其他部门的订单。 在初始未优化的版本中，每个订单列表中的物品都需要单独调用Amazon验证权限来检查权限，加载20个订单大约需要500毫秒。Abhishek通过使用批量授权来一次性检查整个20个订单列表的权限，将加载时间减少到70-80毫秒，从而使页面加载速度提高了约6倍。 接着，他通过缓存授权决策来优化API权限，从而将呼叫次数从3次减少到1次（通过批量处理和缓存）。例如，在加载需要获取订单详情、标签和收据的订单详情页时，它会一次性进行所有三次权限检查并将结果缓存。 Julian总结了这些优化技巧：首先过滤列表进行批量授权以提高用户体验，以及响应缓存以缓存授权决策。他强调了Steady公司的客户案例，该公司预计每月将通过这些优化处理7亿笔交易。 最后，Julian鼓励与会者通过提供的QR码访问演示应用程序的公共GitHub存储库。他还推荐了一些对Amazon验证权限感兴趣的观众参加即将举行的Amazon Web Servicesre:Invent的一些会议。 这次演讲全面介绍了亚马逊Amazon验证权限，并通过实际客户案例展示了如何使用它。现场演示应用程序清楚地说明了如何像批量授权和响应缓存这样的优化技术来提高性能。在产品介绍、客户用例和演示之间，观众可以充分理解如何在自己的应用程序中利用这项服务来实现精细粒度的授权。 **下面是一些演讲现场的精彩瞬间：** 朱利安·洛夫洛克，一位产品经理，在演讲开始前向观众介绍了他和他的团队。  他们所开发的产品旨在帮助开发者管理其应用程序内部的权限，如控制和审计对帐户和交易的访问。  作为亚马逊云科技的一部分，Verified Permissions功能提供了跨应用程序的集中化管理策略，从而简化了合规审计并实现了最小特权原则。  亚马逊云科技具备使用特征标志和重新生成策略的功能，即使在不同地区之间也能提供灵活的认证和授权。  通过[Amazon Verified Permissions](https://aws.amazon.com/cn/verified-permissions/?trk=cndc-detail)，亚马逊云科技能够高效地授权每月数亿次的EDI交易。  此外，亚马逊云科技还推出了批量授权和响应缓存功能，以优化应用程序中高交易量的授权过程。  最近，领导者在re:Invent上宣布了新推出的亚马逊云科技产品Reinforce，并邀请观众参加将于6月10日至12日举行的会议以了解更多详细信息。  ## 总结 亚马逊验证权限技术使开发人员能够将授权逻辑从应用程序代码中分离出来，并通过集中管理以Cedar（一种开放式策略语言）形式表达。这有助于加速开发进程、简化审计流程并提高具有最低权限访问的应用程序的安全性。 此服务包含两个API - 一个用于控制策略和模式的管理面API，另一个是在用户请求时评估策略并进行访问决策的数据面API。该技术在2022年6月正式推出，经过测试阶段的检验。 智能家庭平台Tellus利用亚马逊验证权限来管理设备功能、用户角色和客户计划的授权。这使得动态策略生成和大规模上的毫秒级请求评估成为可能。 在本次演讲中，展示了性能优化技巧，例如针对用户体验权限的批量评估以及对API权限的响应缓存。这些技巧通过减少对验证权限的调用，将一个示例应用的页面加载时间从500毫秒降低至80毫秒。 亚马逊诚邀开发者尝试示例应用，并了解更多关于如何使用亚马逊验证权限构建安全、高性能应用程序的信息。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")