Bring your own Identity (BYOI) with OIDC and Amazon Verified Permissions | Amazon Web Services

Amazon Web Services
7 Jun 202413:41

Summary

TLDRアレクシー・イアーノがデモンストレーションする新機能は、Amazon Verified Permissionsを利用して、オープンID Connectのアイデンティティプロバイダーを簡単に使用できるようになりました。このサービスは、API GatewayでホストされているAPIへのユーザーアクセスを認証・認可する際に、アプリケーション固有の認可システムを構築することなく、細かい権限を実装できる「認可サービス」となっており、銀行アプリケーションなどでも利用されています。また、クイックスタートウィザードが提供され、API Gatewayのリソースに自動的にポリシーを適用するなど、手軽なセットアップが可能となっています。

Takeaways

  • 🔒 Amazon Verified Permissionsは、API GatewayでホストされているAPIに対するユーザーアクセスを認証・認可する新しい機能です。
  • 🛠️ これは「認可サービス」と位置づけられ、独自の認可システムを構築する代わりに、アプリケーションに細かい権限を追加することができます。
  • 🏦 銀行アプリケーションなどでは、ユーザーがお金を引き出すたびにAmazon Verified Permissionsを呼び出し、そのアクションが許可されているかを確認します。
  • 📈 エンドツーエンドのアーキテクチャフローでは、OpenID Connectプロバイダーを使用してアプリケーションを展開し、ユーザーがログインするとカスタムトークンが生成されます。
  • 🔑 API Gatewayはポリシー実施ポイントとして機能し、リクエストを停止してカスタムのLamdba関数を実行し、Verified Permissionsに承認の問い合わせを行います。
  • 🚀 Verified Permissionsのクイックスタート機能は、ステップバイステップのウィザードを提供し、API Gatewayのリソースに自動的にポリシーを適用します。
  • 🔄 新しいポリシーストアを作成する際には、外部のOpenID Connectプロバイダーを選択し、詳細をAmazon Verified Permissionsに提供します。
  • 🗄️ ポリシーストアにはポリシーとスキーマが含まれており、Lambda関数がリクエストを認証するためのリソースとして割り当てられます。
  • 🔄 OpenID Connect IDプロバイダーを事前設定し、ユーザーとグループを作成し、ユーザーにグループを割り当てます。
  • 📝 OpenID Connectの設定により、OpenID Connectプロバイダーと連携するために必要な値を特定し、API Gateway APIを作成し、ステージを展開します。
  • 📊 テストでは、API GatewayのURLを使用して、管理者ユーザーとユーザーグループのユーザーがそれぞれ異なるアクセスレベルを持つことを確認します。

Q & A

  • アマゾン・ベリファイド・パーミッションとは何ですか?

    -アマゾン・ベリファイド・パーミッションは、API Gateway上でホストされているAPIへのユーザーアクセスを認証・認可するためのサービスです。これは、独自の認証システムを構築する代わりに、アプリケーションに細かいパーミッションを追加できる「認可サービス」と言えます。

  • アマゾン・ベリファイド・パーミッションが提供する主な利点は何ですか?

    -アマゾン・ベリファイド・パーミッションは、開発者がAPI Gatewayにアクセス権限を細かく設定できるようにし、アプリケーション固有の認可システムを構築する必要なく、一貫性をもった認可を実装できる利点を提供します。

  • アマゾン・ベリファイド・パーミッションはどのようにAPI Gatewayと連携するか説明してください。

    -API Gatewayはリクエストを停止し、カスタムのLamdba関数を実行します。このLambda関数は、アマゾン・ベリファイド・パーミッションに認可の判断を依頼します。その後、許可または拒否の決定がAPI Gatewayに返され、適切なアクションが実行されます。

  • アマゾン・ベリファイド・パーミッションのクイックスタートウィザードとは何ですか?

    -クイックスタートウィザードは、ステップバイステップのガイドで、API Gatewayのリソースに自動的にアマゾン・ベリファイド・パーミッションのポリシーを適用するプロセスを案内します。

  • アマゾン・ベリファイド・パーミッションで使用されるポリシーストアとは何ですか?

    -ポリシーストアは、アマゾン・ベリファイド・パーミッションによって使用され、ユーザーグループとそれらが実行できるアクションを定義するポリシーを含むものです。

  • アマゾン・ベリファイド・パーミッションでOpenID Connectプロバイダーを設定するにはどうすればよいですか?

    -OpenID Connectプロバイダーを設定するには、まずプロバイダーの詳細をアマゾン・ベリファイド・パーミッションに提供し、必要なAPIとステージを選択します。その後、ポリシーストアのスキーマとユーザーグループに関連するアクションを定義します。

  • アマゾンAPI GatewayのAPIを保護するために必要なステップは何ですか?

    -まず、OpenID Connectプロバイダーを設定し、API GatewayのAPIを作成し、新しいステージをデプロイします。次に、アマゾン・ベリファイド・パーミッションでポリシーストアを作成し、Lambda関数をAPIに割り当てます。

  • アマゾン・ベリファイド・パーミッションでユーザーグループとそのアクセス権を設定する方法を教えてください。

    -ユーザーグループとアクセス権は、ポリシーストア内で定義されます。各グループに対して、実行できるAPIアクションを指定します。たとえば、管理者グループにはすべてのアクションを許可し、ユーザーグループには読み取りのみのアクセスを許可します。

  • アマゾン・ベリファイド・パーミッションを使用してAPIをテストするにはどうすればよいですか?

    -API GatewayのURLを取得し、Postmanなどのツールを使用してリクエストを送信します。リクエストのAuthorizationヘッダーに、OpenID Connectプロバイダーから取得したトークンを含めます。その後、適切なユーザーとして認証し、APIへのリクエストを送信して結果を確認します。

  • アマゾン・ベリファイド・パーミッションがサポートするOpenID Connectプロバイダーにはどのようなものがありますか?

    -アマゾン・ベリファイド・パーミッションは標準のOpenID Connectプロバイダーをサポートしており、CyberArk、Okta、Transman Securityなど、トップのアイデンティティプロバイダーとパートナーシップを結んでいます。

  • アマゾン・ベリファイド・パーミッションの設定を完了するために必要なAWSサービスは何ですか?

    -AWS CloudFormationを使用して、ポリシーストア、Lambda関数、およびAPI Gatewayのリソースをデプロイします。これにより、アマゾン・ベリファイド・パーミッションの設定が自動化されます。

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now
Rate This

5.0 / 5 (0 votes)

Related Tags
AWSOpenID ConnectAPI管理セキュリティ認証認可CloudサーバーレスIAMアクセス制御
Do you need a summary in English?