免费下载案例集|20+数字化领先企业人才培养实践经验 了解详情
写点什么

亚马逊云科技开源 PBAC 领域特定语言 Cedar

  • 2023-06-26
    北京
  • 本文字数:1640 字

    阅读完需:约 5 分钟

亚马逊云科技开源PBAC领域特定语言Cedar

亚马逊云科技开源了他们用来定义策略访问权限的领域特定语言Cedar。Cedar 已集成在Amazon Verified PermissionsAWS Verified Access中,还可以通过 SDK 和语言规范将 Cedar 直接集成到应用程序中。


Cedar可以在应用程序代码之外定义访问策略,这种分离使得它们能够独立地进行编写、分析和审计。Cedar 支持基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。


SDK 可用于编写和验证策略和授权访问请求。Cedar 是用 Rust 编写的,但同时提供了 Rust crate 和 Java 包,可以在Java中使用 Cedar。


可以通过调用 Cedar 授权引擎来验证请求是否被授权。请求信息会被转换为 Cedar 请求并传给 Cedar 授权引擎。下面是在 Rust 中使用 Cedar 的示例:


pub fn is_authorized(    &self,    principal: impl AsRef<EntityUid>,    action: impl AsRef<EntityUid>,    resource: impl AsRef<EntityUid>,) -> Result<()> {    let es = self.entities.as_entities();    let q = Request::new(        Some(principal.as_ref().clone().into()),        Some(action.as_ref().clone().into()),        Some(resource.as_ref().clone().into()),        Context::empty(),    );    info!(        "is_authorized request: principal: {}, action: {}, resource: {}",        principal.as_ref(),        action.as_ref(),        resource.as_ref()    );    let response = self.authorizer.is_authorized(&q, &self.policies, &es);    info!("Auth response: {:?}", response);    match response.decision() {        Decision::Allow => Ok(()),        Decision::Deny => Err(Error::AuthDenied(response.diagnostics().clone())),    }}
复制代码


可以使用 self.authorizer.is_authorized(&q, &self.policies, &es)self.authorizer 来调用 Cedar 授权引擎。参数包括访问请求、Cedar 策略和实体集合。访问请求包含了所需的主体、操作和资源信息。根据具体的分析结果,授权引擎将返回 Decision::Allow 或 Decision::Deny。


策略也可以通过 SDK 来创建。在下面的 Java 示例中,我们创建了一个策略,允许主体 Alice 对 Vacation 资源的子资源执行 View_Photo 操作:


private Set<Policy> buildPolicySlice() {   Set<Policy> ps = new HashSet<>();   String fullPolicy = "permit(principal == User::\"Alice\", action == Action::\"View_Photo\", resource in Album::\"Vacation\");";   ps.add(new Policy(fullPolicy, "p1"));   return ps;}
复制代码


在 Java 中,可以调用 isAuthorized 方法来查询授权情况:


public boolean sampleMethod() throws AuthException {    AuthorizationEngine ae = new WrapperAuthorizationEngine();    AuthorizationQuery q = new AuthorizationQuery("User::\"Alice\"", "Action::\"View_Photo\"", "Photo::\"pic01\"");    return ae.isAuthorized(q, buildSlice()).isAllowed();}
复制代码


在亚马逊云科技宣布开源 Cedar 之后,Permit.io发布了Cedar-Agent,一个 HTTP 服务器,作为基于 Cedar 的策略的策略存储和数据存储。策略存储支持创建、检索、更新和删除策略,数据存储支持在内存中存储应用程序数据。Cedar-Agent 可以针对存储的数据执行授权检查,这些检查可以基于传入的请求进行。


HackerNews 上的一位用户dadadad100评论说,他们看到 Cedar 可能填补了应用程序授权领域的空白:


Cedar 介于 OPA(基于数据的搜索方法)和Zanzibar之间。目前还不清楚哪一方会胜出,但不管怎样,现在这个问题开始引起人们的关注了。


其他用户,如Oxbadcafebee,对亚马逊云科技没有为 Open Policy Agent 提供支持表示失望。


Cedar 采用了 Apache License 2.0,托管在 GitHub 上。更多细节可以在最近的亚马逊云科技的博客中找到,或者加入Cedar Policy Slack频道。


原文链接

https://www.infoq.com/news/2023/06/aws-cedar-open-source/


相关阅读:

亚马逊云科技 Lambda引入响应有效负载流

从微服务转为单体架构、成本降低 90%,亚马逊内部案例引发轰动!CTO:莫慌,要持开放心态

2023-06-26 08:003766

评论

发布
暂无评论
发现更多内容

智能软件仓储如何选择?华为云制品仓助力企业勇攀高峰

YG科技

说到CR,我们到底需要关注什么

agnostic

CR

《公立医院成本核算指导手册》印发 公立医院应该如何做好成本核算

用友BIP

成本管理

Wireshark使用技巧

小魏写代码

华为云制品仓CodeArts Artifact:引领数字化风潮,解锁企业未来

YG科技

Python笔记二之多线程

Hunter熊

Python 多线程

架构误区系列18:error、warn不分

agnostic

日志级别

app开发

Geek_8da502

1688商品详情接口在电商行业中的重要性及实时数据获取实现

Noah

低代码开发到底是补品还是垃圾食品?

伤感汤姆布利柏

当代数据库领域先驱者 Mohan 教授、ASF 成员 Julian 博士莅临天谋科技参观指导

Apache IoTDB

HashData:大数据时代的“追光者”

酷克数据HashData

制品仓智能化管理,引领数字化时代的软件供应链变革

YG科技

文心一言 VS 讯飞星火 VS chatgpt (153)-- 算法导论12.2 9题

福大大架构师每日一题

福大大架构师每日一题

Go1.21.0 程序启动过程

-Hedon🍭

Go 语言 Go程序启动流程 Go1.21 Go 底层原理

2024 年最值得推荐的 7 个 Vue3 组件库

Kagol

用友与上海国家会计学院联合主办第六届智能财务高峰论坛

用友BIP

智能会计

软件测试/人工智能丨关系运算符

测试人

人工智能 软件测试

做好技术分享需要注意的几点(第三点很重要)

Java 工程师蔡姬

#java 21 天技术人写作行动营 #技术分享

毫无意义或有深意?工作反思手册

少油少糖八分饱

职场 工作 价值 生活的意义 工作价值

程序员35+危机如何破?

智慧源点

副业赚钱

京东商品详情接口在电商行业中的重要性及实时数据获取实现

Noah

第12期 | 用友BIP项目云,助力施工项目全过程、全要素创新发展

用友BIP

项目管理

建立个人学习观|地铁上的自习室

阿里技术

个人学习观 学习观 思想观念

驱动优化做盾,性能提升为矛,看英特尔锐炫GPU如何破壁生态与创新

E科讯

昇腾AI开发者创享日·广州站成功举办 四大仪式激发人工智能产业创新活力

彭飞

K8s容器debug高级技巧

SEAL安全

容器 Kubernetes 集群

华为云制品仓库:引领数字化未来的巨量引擎

YG科技

一款基于ESP32的迷你四足机器人

芯动大师

华为云数字化制品仓,引领企业智能化转型之路

YG科技

极狐GitLab 与 Flux 集成实现 GitOps

极狐GitLab

开源 DevOps gitlab gitops Flux

亚马逊云科技开源PBAC领域特定语言Cedar_云端开发_Matt Campbell_InfoQ精选文章