本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 Amazon Verified Permissions？
<a name="what-is-avp"></a>

Amazon Verified Permissions 是一種可擴展、精細的許可管理和授權服務，適用於您建置的自訂應用程式。Verified Permissions 可讓您的開發人員透過外部化授權並集中管理政策，更快速地建置安全的應用程式。Verified Permissions 使用 Cedar 政策語言來定義精細的許可，以保護您應用程式的資源。

如需使用 Verified Permissions 設定政策決策點 (PDP) 的指引和範例，請參閱 *AWS 方案指引*中的[使用 Amazon Verified Permissions 實作 PDP](https://docs.aws.amazon.com/prescriptive-guidance/latest/saas-multitenant-api-access-authorization/avp.html)。

**Topics**
+ [Verified Permissions 中的授權](#avp-authorization)
+ [Cedar 政策語言](#avp-cedar)
+ [Verified Permissions 的優點](#avp-benefit-overview)
+ [相關服務](#related-services)
+ [存取已驗證的許可](#acessing-verified-permissions)
+ [Verified Permissions 的定價](#verified-permissions-pricing)

## Verified Permissions 中的授權
<a name="avp-authorization"></a>

Verified Permissions 透過驗證是否允許主體在應用程式中的指定內容中對資源執行動作，來提供*授權*。Verified Permissions 假設主體先前已透過其他方式識別和驗證，例如使用 OpenID Connect 等通訊協定、 等託管提供者 Amazon Cognito，或其他身分驗證解決方案。Verified Permissions 與主體的管理位置以及驗證方式無關。

Verified Permissions 是一項服務，可讓客戶在 中建立、維護和測試政策 AWS 管理主控台、以程式設計方式使用 Verified Permissions APIs，或透過基礎設施做為程式碼解決方案 CloudFormation。許可是以 Cedar 政策語言表示。用戶端應用程式會呼叫授權 APIs 來評估與服務一起存放的 Cedar 政策，並提供是否允許 動作的存取決策。

## Cedar 政策語言
<a name="avp-cedar"></a>

Verified Permissions 中的授權政策是使用 Cedar 政策語言撰寫。Cedar 是一種開放原始碼語言，用於撰寫授權政策，並根據這些政策做出授權決策。當您建立應用程式時，您需要確保只有授權的委託人、人類使用者或機器可以存取應用程式，並且只能執行他們獲得授權執行的操作。使用 Cedar，您可以將商業邏輯與授權邏輯分離。在應用程式的程式碼中，您會在呼叫 Cedar 授權引擎時對操作提出請求前，詢問「是否授權此請求？」。然後，如果決策為「允許」，應用程式可以執行請求的操作，如果決策為「拒絕」，則傳回錯誤訊息。

Verified Permissions 目前使用 **Cedar 4.7 版。**

如需 Cedar 的詳細資訊，請參閱下列內容：
+ [Cedar 政策語言參考指南](https://docs.cedarpolicy.com/)
+ [Cedar GitHub 儲存庫](https://github.com/cedar-policy/)

## Verified Permissions 的優點
<a name="avp-benefit-overview"></a>

### 加速應用程式開發
<a name="avp-benefit-application-development"></a>

從商業邏輯解耦授權，加速應用程式開發。

Verified Permissions 提供與熱門開發架構的整合，讓您以最少的程式碼變更，更輕鬆地在應用程式中實作授權。這些整合可讓您專注於核心業務邏輯，同時 Verified Permissions 會處理授權決策。
+ **Express.js** – 以中介軟體為基礎的整合，可讓您在 Express 應用程式中保護 API 端點，而無需修改現有的路由處理常式。如需詳細資訊，請參閱[將 Express 與 Amazon Verified Permissions 整合](integration-express.md)。

### 更安全的應用程式
<a name="avp-benefit-secure-applications"></a>

Verified Permissions 可讓開發人員建置更安全的應用程式。

### 最終使用者功能
<a name="avp-benefit-features"></a>

Verified Permissions 可讓您為許可管理提供更豐富的最終使用者功能。

## 相關服務
<a name="related-services"></a>
+ **Amazon Cognito** – Amazon Cognito 是適用於 Web 和行動應用程式的身分平台。是一種使用者目錄、身分驗證伺服器，以及 OAuth 2.0 存取權杖和 AWS 憑證的授權服務。當您建立政策存放區時，您可以選擇從 Amazon Cognito 使用者集區建置委託人和群組。如需詳細資訊，請參閱 [Amazon Cognito 開發人員指南](https://docs.aws.amazon.com/cognito/latest/developerguide/)。
+ **Amazon API Gateway** – Amazon API Gateway 是一種 AWS 服務，用於建立、發佈、維護、監控和保護任何規模的 REST、HTTP 和 WebSocket APIs。當您建立政策存放區時，您可以選擇從 中的 API 建置動作和資源 API 閘道。如需 的詳細資訊 API 閘道，請參閱 [API 閘道 開發人員指南](https://docs.aws.amazon.com/apigateway/latest/developerguide/)。
+ **AWS IAM Identity Center** – 透過 IAM Identity Center，您可以管理人力資源身分的登入安全性，也稱為人力資源使用者。IAM Identity Center 提供一個位置，您可以在其中建立或連接人力資源使用者，並集中管理其所有 AWS 帳戶 和應用程式的存取權。如需詳細資訊，請參閱[「AWS IAM Identity Center 使用者指南」](https://docs.aws.amazon.com/singlesignon/latest/userguide/)。

## 存取已驗證的許可
<a name="acessing-verified-permissions"></a>

您可以透過下列任何方式使用 Amazon Verified Permissions。

**AWS 管理主控台**  
主控台是以瀏覽器為基礎的界面，用於管理 Verified Permissions 和資源 AWS 。如需透過主控台存取已驗證許可的詳細資訊，請參閱*AWS 登入 《 使用者指南*》中的[如何登入 AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。  
+ [Amazon Verified Permissions 主控台](https://console.aws.amazon.com/verifiedpermissions/home)

**AWS 命令列工具**  
您可以使用 AWS 命令列工具在系統的命令列發出命令，以執行 Verified Permissions 和 AWS 任務。使用命令列可以比主控台更快，也更便利。若您想要建構執行 AWS 任務的指令碼，命令列工具也非常實用。  
AWS 提供兩組命令列工具： [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI) 和 [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/)。如需安裝和使用 的詳細資訊 AWS CLI，請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。如需安裝和使用 Tools for Windows PowerShell 的詳細資訊，請參閱 [AWS Tools for PowerShell 使用者指南](https://docs.aws.amazon.com/powershell/latest/userguide/)。  
+ 《 AWS CLI 命令參考[》中的已驗證許可](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/verifiedpermissions/index.html) 
+ 中的 [Amazon 驗證許可](https://docs.aws.amazon.com/powershell/latest/reference/?page=VerifiedPermissions_cmdlets.html&tocid=VerifiedPermissions_cmdlets) AWS Tools for Windows PowerShell

**AWS SDKs**  
AWS 提供SDKs（軟體開發套件），其中包含適用於各種程式設計語言和平台 (Java、Python、Ruby、.NET、iOS、Android 等） 的程式庫和範本程式碼。SDKs提供便捷的方式來建立對 Verified Permissions 和 的程式設計存取 AWS。例如，開發套件會負責的工作諸如以密碼演算法簽署請求、管理錯誤以及自動重試請求。  
若要進一步了解 和 AWS SDKs，請參閱[適用於 的工具 Amazon Web Services](https://aws.amazon.com/tools/)。  
以下是各種 AWS SDKs 中已驗證許可資源的文件連結。  
+ [適用於 .NET 的 AWS SDK](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/VerifiedPermissions/NVerifiedPermissions.html)
+ [適用於 C\$1\$1 的 AWS SDK](https://sdk.amazonaws.com/cpp/api/LATEST/aws-cpp-sdk-verifiedpermissions/html/class_aws_1_1_verified_permissions_1_1_verified_permissions_client.html)
+ [適用於 Go 的 AWS SDK](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/verifiedpermissions)
+ [適用於 Java 的 AWS SDK](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/verifiedpermissions/package-summary.html)
+ [適用於 JavaScript 的 AWS SDK](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/verifiedpermissions/)
+ [適用於 PHP 的 AWS SDK](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-verifiedpermissions-2021-12-01.html)
+ [適用於 Python (Boto) 的 AWS SDK](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions.html)
+ [適用於 Ruby 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/VerifiedPermissions/Client.html)
+ [適用於 Rust 的 AWS SDK](https://docs.rs/aws-sdk-verifiedpermissions/latest/aws_sdk_verifiedpermissions/)

**AWS CDK 建構**  
 AWS Cloud Development Kit (AWS CDK) 是開放原始碼軟體開發架構，用於在程式碼中定義雲端基礎設施並透過其佈建 CloudFormation。建構或可重複使用的雲端元件可用來建立 CloudFormation 範本。然後，您可以使用這些範本來部署雲端基礎設施。  
若要進一步了解並下載 AWS CDK，請參閱[AWS 雲端開發套件](https://aws.amazon.com/cdk/)。  
以下是 Verified Permissions AWS CDK 資源的文件連結，例如 constructs。  
+ [Amazon Verified Permissions L2 CDK 建構](https://github.com/cdklabs/cdk-verified-permissions)

**已驗證的許可 API**  
您可以使用 Verified Permissions API 以 AWS 程式設計方式存取 Verified Permissions，這可讓您直接向 服務發出 HTTPS 請求。當您使用 API 時，必須包含使用您的登入資料來數位簽署請求的程式碼。  
+ [Amazon Verified Permissions API 參考指南](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/)

## Verified Permissions 的定價
<a name="verified-permissions-pricing"></a>

Verified Permissions 根據應用程式對 Verified Permissions 每月提出的授權請求數量，提供分層定價。政策管理動作也會根據應用程式對 Verified Permissions 每月提出的 cURL （用戶端 URL) 政策 API 請求數量來定價。

如需 Verified Permissions 費用和價格的完整清單，請參閱 [Amazon Verified Permissions 定價](https://aws.amazon.com/verified-permissions/pricing/)。

若要查看您的帳單，請前往 [AWS 帳單與成本管理 主控台](https://console.aws.amazon.com/billing/)中的**帳單與成本管理儀表板**。您的帳單內含用量報告的連結，可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單，請參閱[AWS Billing 《 使用者指南》](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/)。

如果您對 AWS 帳單、帳戶和事件有任何疑問，[請聯絡 支援](https://aws.amazon.com/contact-us/) 。