セッション概要

公式ポータルより引用

When you decouple policy authoring from application development, you can move faster than before. Amazon Verified Permissions simplifies authorization within your applications using policy stores, policy templates, and policy testing. Join this session to learn about new features for Verified Permissions that further simplify schema editing and policy analysis. Also explore how these features help developers batch authorize actions and resources simultaneously, further reducing latency and making it more cost-effective for AWS users to externalize their authorization.

(DeepL翻訳)
ポリシーのオーサリングをアプリケーションの開発から切り離すことで、以前よりも迅速に作業を進めることができます。Amazon Verified Permissionsは、ポリシーストア、ポリシーテンプレート、ポリシーテストを使用して、アプリケーション内の権限付与を簡素化します。このセッションでは、スキーマ編集とポリシー分析をさらに簡素化する Verified Permissions の新機能について学びます。また、これらの機能により、開発者がアクションとリソースを同時にバッチ認証することで、待ち時間をさらに短縮し、AWSユーザが認可を外部化する際の費用対効果を高める方法についてもご紹介します。

Introduction to Amazon Verified Permissions

従来の開発手法では、認証のルール変更などによりコードの改修が必要だった

Verified Permissions はそれを簡素化してくれる

また、Verified Permissions は開発者とセキュリティ・運用担当者どっちにもメリットがある

事例紹介

TELUS home automation platform の事例
TELUS社は IoT プラットフォームを提供する会社

TELUS での6つの要件に、Verified Permissions がマッチしたので採用した

プラットフォーム上でのルールを記載することで管理が可能

デモを交えた Verified Permissions の実装紹介

TELUS のアプリ「SmartHome+」では、ボイスアシスタントや AI チャットの機能を付与している

TELUS では Permission を2つに分けている

  • UX Permission
    • ユーザーに何を見せるか
  • API Permission
    • ユーザーが何をできるように設定するか

ここでデモアプリの Toy Store についての説明が開始
Toy Store では作業員のロールに応じてみれるデータを制限している

実際に Julia でログインすると。。。

Soft Toy しか見れなくなっている

次に mark でログインすると。。。

データが全てみれる状態になる

裏の構成図の紹介
認証には Cognito を使用し、権限管理には DynamoDB と Verified Permissions を使用

最適化も考慮しており、一つの API で複数処理が実行できるバッチ処理、レスポンスのキャッシュ機能を実装

次に、API Permision の実装について紹介

ログインした後の画面で表示される注文詳細の画面では。。。

裏で表示される情報を管理・処理している

Verified Permissions を使用すると、リクエストごとに認証を走らせることができる
これは開発者へのメリットだけでなく、管理者へのメリットでもある

最後に、サンプルアプリをダウンロードできる GitHub リポジトリの紹介がありました

リンクはこちらです

https://github.com/aws-samples/avp-toy-store-sample-frontend