本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Verified Permissions 中擷取 PDP 的外部資料
Amazon Verified Permissions 不支援擷取 PDP 的外部資料,但可以儲存使用者提供的資料作為其結構描述的一部分。如同 OPA,如果授權決策的所有資料都可以作為授權請求的一部分提供,或作為作為請求的一部分傳遞的 JSON Web Token (JWT) 的一部分提供,則不需要額外的組態。不過,您可以在呼叫 Verified Permissions 的應用程式授權方服務中,透過授權請求將來自外部來源的其他資料提供給 Verified Permissions。例如,應用程式的授權方服務可以查詢外部來源,例如 DynamoDB 或 Amazon RDS 以取得資料,然後這些服務可以包含外部提供的資料作為授權請求的一部分。
下圖顯示如何擷取其他資料並將其納入 Verified Permissions 授權請求的範例。可能需要使用此方法擷取資料,例如 RBAC 角色映射、擷取與資源或主體相關的其他屬性,或在資料位於應用程式不同部分且無法透過身分提供者 (IdP) 權杖提供的情況下。
應用程式流程:
-
應用程式會收到對 Amazon API Gateway 的 API 呼叫,並將呼叫轉送給 AWS Lambda 授權方。
-
Lambda 授權方會呼叫 Amazon DynamoDB,以擷取提出請求之委託人的其他資料。
-
Lambda 授權方會將其他資料納入對 Verified Permissions 提出的授權請求中。
-
Lambda 授權方向 Verified Permissions 提出授權請求,並收到授權決定。
圖表包含稱為 Lambda 授權方的 Amazon API Gateway 功能。雖然此功能可能無法用於由其他服務或應用程式提供的 APIs,但您可以使用 授權方來複寫一般模型,以擷取其他資料,以在多個使用案例中併入 Verified Permissions 授權請求。
