AWS aurait-il mieux fait de développer une API WASM ou eBPF plutôt que Cedar ? La question se pose à propos de ce langage spécifique à la définition de politiques de contrôle d’accès.
Deux services actuellement en version préliminaire l’exploitent. D’un côté, Amazon Verified Permissions (gestion des permissions). De l’autre, AWS Verified Access (connectivité sécurisée aux applications d’entreprise sans VPN).
Cedar a toutefois un potentiel plus large, résumé dans la fameuse promesse « build once, deploy anywhere ». En d’autres termes, ici, « développez votre propre IAM ».
À la composante langage, Cedar associe une spécification pour l’évaluation des politiques d’accès. À défaut d’avoir mis l’une ou l’autre brique en open source, AWS propose un bac à sable pour les expérimenter.
Cedar a des similitudes avec Datalog, ce langage de requêtes et de règles pour les bases de données déductives. Il partage aussi certains traits avec Zanzibar, le système d’autorisation que Google utilise en interne.
Sa structure se fonde sur trois éléments-clés :
– Les « effets » (autorisation ou interdiction des accès)
– Le « périmètre » (utilisateurs, actions et ressources concernées)
– Les conditions (de type when et unless)
La logique d’évaluation est la suivante : tout accès nécessite au moins une autorisation explicite et toute interdiction a la priorité sur les autorisations. Soit le même fonctionnement que sur l’IAM AWS.
La notion de périmètre permet d’appliquer une forme de contrôle basé sur les rôles (regroupement d’utilisateurs, d’actions et de ressources). Les conditions, plus flexibles grâce à divers opérateurs (comparaison, évaluation booléenne et collecte), permettent la mise en œuvre d’un contrôle basé sur les attributs.
Cedar supporte six types de données. Nommément, les chaînes de caractères, les entiers, les valeurs booléennes, les tableaux, les décimaux et les adresses IP.
Illustration principale © serijob74 – Adobe Stock
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…