【AWS re:Invent 2023】SEC241-NEW アプリ内での認証に Amazon Verified Permissions を使用する方法[セッション]

セッション概要

公式ポータルより引用

When you decouple policy authoring from application development, you can move faster than before. Amazon Verified Permissions simplifies authorization within your applications using policy stores, policy templates, and policy testing. Join this session to learn about new features for Verified Permissions that further simplify schema editing and policy analysis. Also explore how these features help developers batch authorize actions and resources simultaneously, further reducing latency and making it more cost-effective for AWS users to externalize their authorization.

(DeepL翻訳）
ポリシーのオーサリングをアプリケーションの開発から切り離すことで、以前よりも迅速に作業を進めることができます。Amazon Verified Permissionsは、ポリシーストア、ポリシーテンプレート、ポリシーテストを使用して、アプリケーション内の権限付与を簡素化します。このセッションでは、スキーマ編集とポリシー分析をさらに簡素化する Verified Permissions の新機能について学びます。また、これらの機能により、開発者がアクションとリソースを同時にバッチ認証することで、待ち時間をさらに短縮し、AWSユーザが認可を外部化する際の費用対効果を高める方法についてもご紹介します。

Introduction to Amazon Verified Permissions

従来の開発手法では、認証のルール変更などによりコードの改修が必要だった

Verified Permissions はそれを簡素化してくれる

また、Verified Permissions は開発者とセキュリティ・運用担当者どっちにもメリットがある

事例紹介

TELUS home automation platform の事例
TELUS社は IoT プラットフォームを提供する会社

TELUS での6つの要件に、Verified Permissions がマッチしたので採用した

プラットフォーム上でのルールを記載することで管理が可能

デモを交えた Verified Permissions の実装紹介

TELUS のアプリ「SmartHome+」では、ボイスアシスタントや AI チャットの機能を付与している

TELUS では Permission を２つに分けている

UX Permission
- ユーザーに何を見せるか
API Permission
- ユーザーが何をできるように設定するか

ここでデモアプリの Toy Store についての説明が開始
Toy Store では作業員のロールに応じてみれるデータを制限している

実際に Julia でログインすると。。。

Soft Toy しか見れなくなっている

次に mark でログインすると。。。

データが全てみれる状態になる

裏の構成図の紹介
認証には Cognito を使用し、権限管理には DynamoDB と Verified Permissions を使用

最適化も考慮しており、一つの API で複数処理が実行できるバッチ処理、レスポンスのキャッシュ機能を実装

次に、API Permision の実装について紹介

ログインした後の画面で表示される注文詳細の画面では。。。

裏で表示される情報を管理・処理している

Verified Permissions を使用すると、リクエストごとに認証を走らせることができる
これは開発者へのメリットだけでなく、管理者へのメリットでもある

最後に、サンプルアプリをダウンロードできる GitHub リポジトリの紹介がありました

リンクはこちらです

https://github.com/aws-samples/avp-toy-store-sample-frontend

2023年12月7日 (木)「AWS re:Invent 2023」のポイントを解説する「AWS re:Invent 2023 re:Cap presented by iret」を開催します。

詳細はこちら：https://cloudpack.jp/lp/aws-reinvent-recap-2023/

この記事を書いた人

畠山大治

Perfumeをこよなく愛するクラウドエンジニア / AWS Community Builders / 2024 Japan AWS Top Engineers(Networking) / OpsJAWS運営/ AWS認定 12冠 / GC認定 ACE 畠山大治が書いた記事

【AWS re:Invent 2023】SEC241-NEW アプリ内での認証に Amazon Verified Permissions を使用する方法[セッション]

セッション概要

Introduction to Amazon Verified Permissions

事例紹介

デモを交えた Verified Permissions の実装紹介

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

Arduinoを初めて使う時のセットアップと実例集

AWSの生成AI活用事例集GenUを使い倒す

『第3回 Well Architected Mini Bootcamp for iret（運用上の優秀性）in 名古屋』参加レポート

Google Cloud 認定資格のグッズ申請をしてみた

【AWS re:Invent 2023】SEC241-NEW アプリ内での認証に Amazon Verified Permissions を使用する方法[セッション]

セッション概要

Introduction to Amazon Verified Permissions

事例紹介

デモを交えた Verified Permissions の実装紹介

関連記事Related Articles

【AWS re:Invent 2023】Badgeピックアップ、swag入手、認定ラウンジの入り方について

【AWS re:Invent 2023】ソロ現地入り

【AWS re:Invent 2023】Amazon CloudWatch multidata source queryingがGAされました[COP227-INT]

【AWS re:Invent 2023】AWS で稼働する Microsoft ワークロードのコスト最適化の推奨事項について[ENT211]

【AWS re:Invent 2023】責任ある持続可能な生成AIチャットボットの作り方[IMP103]