Bring your own Identity (BYOI) with OIDC and Amazon Verified Permissions | Amazon Web Services

Amazon Web Services

7 Jun 202413:41

Summary

TLDRアレクシー・イアーノがデモンストレーションする新機能は、Amazon Verified Permissionsを利用して、オープンID Connectのアイデンティティプロバイダーを簡単に使用できるようになりました。このサービスは、API GatewayでホストされているAPIへのユーザーアクセスを認証・認可する際に、アプリケーション固有の認可システムを構築することなく、細かい権限を実装できる「認可サービス」となっており、銀行アプリケーションなどでも利用されています。また、クイックスタートウィザードが提供され、API Gatewayのリソースに自動的にポリシーを適用するなど、手軽なセットアップが可能となっています。

Takeaways

🔒 Amazon Verified Permissionsは、API GatewayでホストされているAPIに対するユーザーアクセスを認証・認可する新しい機能です。
🛠️ これは「認可サービス」と位置づけられ、独自の認可システムを構築する代わりに、アプリケーションに細かい権限を追加することができます。
🏦 銀行アプリケーションなどでは、ユーザーがお金を引き出すたびにAmazon Verified Permissionsを呼び出し、そのアクションが許可されているかを確認します。
📈 エンドツーエンドのアーキテクチャフローでは、OpenID Connectプロバイダーを使用してアプリケーションを展開し、ユーザーがログインするとカスタムトークンが生成されます。
🔑 API Gatewayはポリシー実施ポイントとして機能し、リクエストを停止してカスタムのLamdba関数を実行し、Verified Permissionsに承認の問い合わせを行います。
🚀 Verified Permissionsのクイックスタート機能は、ステップバイステップのウィザードを提供し、API Gatewayのリソースに自動的にポリシーを適用します。
🔄 新しいポリシーストアを作成する際には、外部のOpenID Connectプロバイダーを選択し、詳細をAmazon Verified Permissionsに提供します。
🗄️ ポリシーストアにはポリシーとスキーマが含まれており、Lambda関数がリクエストを認証するためのリソースとして割り当てられます。
🔄 OpenID Connect IDプロバイダーを事前設定し、ユーザーとグループを作成し、ユーザーにグループを割り当てます。
📝 OpenID Connectの設定により、OpenID Connectプロバイダーと連携するために必要な値を特定し、API Gateway APIを作成し、ステージを展開します。
📊 テストでは、API GatewayのURLを使用して、管理者ユーザーとユーザーグループのユーザーがそれぞれ異なるアクセスレベルを持つことを確認します。

Q & A

アマゾン・ベリファイド・パーミッションとは何ですか？
-アマゾン・ベリファイド・パーミッションは、API Gateway上でホストされているAPIへのユーザーアクセスを認証・認可するためのサービスです。これは、独自の認証システムを構築する代わりに、アプリケーションに細かいパーミッションを追加できる「認可サービス」と言えます。
アマゾン・ベリファイド・パーミッションが提供する主な利点は何ですか？
-アマゾン・ベリファイド・パーミッションは、開発者がAPI Gatewayにアクセス権限を細かく設定できるようにし、アプリケーション固有の認可システムを構築する必要なく、一貫性をもった認可を実装できる利点を提供します。
アマゾン・ベリファイド・パーミッションはどのようにAPI Gatewayと連携するか説明してください。
-API Gatewayはリクエストを停止し、カスタムのLamdba関数を実行します。このLambda関数は、アマゾン・ベリファイド・パーミッションに認可の判断を依頼します。その後、許可または拒否の決定がAPI Gatewayに返され、適切なアクションが実行されます。
アマゾン・ベリファイド・パーミッションのクイックスタートウィザードとは何ですか？
-クイックスタートウィザードは、ステップバイステップのガイドで、API Gatewayのリソースに自動的にアマゾン・ベリファイド・パーミッションのポリシーを適用するプロセスを案内します。
アマゾン・ベリファイド・パーミッションで使用されるポリシーストアとは何ですか？
-ポリシーストアは、アマゾン・ベリファイド・パーミッションによって使用され、ユーザーグループとそれらが実行できるアクションを定義するポリシーを含むものです。
アマゾン・ベリファイド・パーミッションでOpenID Connectプロバイダーを設定するにはどうすればよいですか？
-OpenID Connectプロバイダーを設定するには、まずプロバイダーの詳細をアマゾン・ベリファイド・パーミッションに提供し、必要なAPIとステージを選択します。その後、ポリシーストアのスキーマとユーザーグループに関連するアクションを定義します。
アマゾンAPI GatewayのAPIを保護するために必要なステップは何ですか？
-まず、OpenID Connectプロバイダーを設定し、API GatewayのAPIを作成し、新しいステージをデプロイします。次に、アマゾン・ベリファイド・パーミッションでポリシーストアを作成し、Lambda関数をAPIに割り当てます。
アマゾン・ベリファイド・パーミッションでユーザーグループとそのアクセス権を設定する方法を教えてください。
-ユーザーグループとアクセス権は、ポリシーストア内で定義されます。各グループに対して、実行できるAPIアクションを指定します。たとえば、管理者グループにはすべてのアクションを許可し、ユーザーグループには読み取りのみのアクセスを許可します。
アマゾン・ベリファイド・パーミッションを使用してAPIをテストするにはどうすればよいですか？
-API GatewayのURLを取得し、Postmanなどのツールを使用してリクエストを送信します。リクエストのAuthorizationヘッダーに、OpenID Connectプロバイダーから取得したトークンを含めます。その後、適切なユーザーとして認証し、APIへのリクエストを送信して結果を確認します。
アマゾン・ベリファイド・パーミッションがサポートするOpenID Connectプロバイダーにはどのようなものがありますか？
-アマゾン・ベリファイド・パーミッションは標準のOpenID Connectプロバイダーをサポートしており、CyberArk、Okta、Transman Securityなど、トップのアイデンティティプロバイダーとパートナーシップを結んでいます。
アマゾン・ベリファイド・パーミッションの設定を完了するために必要なAWSサービスは何ですか？
-AWS CloudFormationを使用して、ポリシーストア、Lambda関数、およびAPI Gatewayのリソースをデプロイします。これにより、アマゾン・ベリファイド・パーミッションの設定が自動化されます。