本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Verified Access 的工作原理
<a name="how-it-works"></a>

AWS Verified Access 评估用户的每个应用程序请求，并根据以下条件允许访问：
+ 信任您选择的信任提供商（来自 AWS 或第三方）发送的数据。
+ 您在 Verified Access 中创建的访问策略。

当用户尝试访问应用程序时，Verified Access 会从信任提供商处获取数据，并根据您为该应用程序设置的策略对其进行评估。只有当用户满足您指定的安全要求时，Verified Access 才会授予对所请求应用程序的访问权限。默认情况下，在定义策略前，所有应用程序请求都会被拒绝。

此外，Verified Access 还会记录每次访问尝试，以帮助您快速响应安全事件和审核请求。

## Verified Access 的关键组件
<a name="-verified-access-components"></a>

下图提供了 Verified Access 的简要概述。用户发送访问应用程序的请求。Verified Access 根据组的访问策略和任何特定于应用程序的端点策略来评估请求。如果允许访问，请求会通过端点发送到应用程序。

![\[使用 Verified Access 对用户的应用程序请求进行身份验证。\]](http://docs.aws.amazon.com/zh_cn/verified-access/latest/ug/images/verified-access-components.png)

+ **Verified Access 实例** – 一个实例评估应用程序请求并仅在您的安全要求获得满足时才授予访问权限。
+ **Verified Access 端点** – 每个端点代表一个应用程序。在上图中，应用程序托管在作为负载均衡器目标的 EC2 实例上。
+ **Verified Access 组** – Verified Access 端点的集合。我们建议您对具有相似安全要求的应用程序的端点进行分组，以简化策略管理。例如，您可以将所有销售应用程序的端点分到一组。
+ **访问策略** – 一组用户定义的规则，用于确定是允许还是拒绝访问应用程序。您可以指定各种因素的组合，包括用户身份和设备安全状态。您可以为每个 Verified Access 组创建一个组访问策略，该策略会被组中的所有端点继承。您可以选择创建特定于应用程序的策略并将其附加到特定端点。
+ **信任提供商** – 一种管理用户身份或设备安全状态的服务。验证访问权限既适用于第三方信任提供商 AWS ，也适用于第三方信任提供商。每个 Verified Access 实例必须附加至少一个信任提供商。您可以将单个身份信任提供商和多个设备信任提供商附加到每个 Verified Access 实例。
+ **信任数据** – 信任提供商发送给 Verified Access 的用户或设备的安全相关数据。也被称为*用户声明*或*信任上下文*。例如，用户的电子邮件地址或设备的操作系统版本。Verified Access 在收到每个访问应用程序的请求时，会根据您的访问策略评估这些数据。