Une belle vitrine pour Dafny ? Ce langage de programmation prenant en charge la spécification formelle est en tout cas au cœur de Cedar.
Le projet émane d’AWS, qui vient d’en publier le code – sous licence Apache 2.0. Son principe, dans les grandes lignes : un langage pour définir des politiques d’accès réutilisables (indépendantes du code des applications) et une spécification pour les contrôler. Une forme d’IAM interopérable.
La structure de Cedar se fonde sur trois éléments-clés :
– Les « effets » (autorisation ou interdiction des accès)
– Le « périmètre » (utilisateurs, actions et ressources concernées)
– Les conditions (de type when et unless)
La logique d’évaluation est la même que sur l’IAM d’AWS. Tout accès nécessite au moins une autorisation explicite et toute interdiction a la priorité sur les autorisations.
La notion de périmètre permet d’appliquer une forme de contrôle basé sur les rôles (regroupement d’utilisateurs, d’actions et de ressources). Les conditions, plus flexibles grâce à divers opérateurs (comparaison, évaluation booléenne et collecte), permettent la mise en œuvre d’un contrôle basé sur les attributs.
Deux services actuellement en version préliminaire utilisent Cedar. D’une part, Amazon Verified Permissions (gestion des permissions). De l’autre, AWS Verified Access (connectivité sécurisée aux applications d’entreprise sans VPN).
Cedar est implémenté en Rust et propose aussi une API Java. Il permet de créer des politiques statiques ou liées à des modèles. Plusieurs exemples d’applications sont disponibles pour se familiariser à la syntaxe.
À consulter pour davantage de contexte :
Pas de gestion des accès sans IAM ?
Zero trust : 3 méthodes et 5 technologies pour le mettre en œuvre
Le W3C dit non à Google et Mozilla sur l’identité décentralisée
Illustration principale © TeacherPhoto – Adobe Stock
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…