Cerbos - solution de gestion des autorisations utilisateur indépendante du langage et extensible

 (github.com/cerbos)
6 points par GN⁺ 2024-12-17 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une couche de gestion des autorisations permettant de définir des règles de contrôle d’accès puissantes et contextuelles pour les ressources d’application
  • Rédigée avec de simples politiques YAML, et pouvant être gérée et déployée via une infrastructure basée sur GitOps
  • Le point de décision de politique (PDP, Policy Decision Point) de Cerbos peut être auto-hébergé, puis évalue les politiques et prend des décisions d’accès dynamiques via une API hautement disponible

Principales caractéristiques de Cerbos

  • Rédaction et déploiement des politiques :
    • Définition des politiques au format YAML
    • Stockage des politiques sur disque, dans un object store cloud, un dépôt Git ou une base de données
  • Scalabilité et intégration :
    • Déploiement possible dans divers environnements, notamment service K8s, sidecar, service systemd, AWS Lambda, etc.
    • Intégration facile dans des déploiements serverless et edge
  • Fonctionnalités avancées de gestion des politiques :
    • Mise en œuvre de l’ABAC (Attribute-Based Access Control) au-delà du simple RBAC (Role-Based Access Control)
    • Évaluation possible de conditions fines à l’aide des données de contexte à l’exécution

Concepts clés

  • Principal : entité qui tente d’effectuer une action (ex. : utilisateur, application, service)
  • Action : opération que l’entité tente d’exécuter (ex. : créer, lire, mettre à jour, supprimer, etc.)
  • Resource : cible dont l’accès est contrôlé (ex. : rapport, reçu, informations de carte, etc.)
  • Policies : fichiers YAML définissant les règles d’accès par ressource
  • Cerbos PDP :
    • Service stateless qui exécute les politiques et prend les décisions d’accès
    • API principales :
      • CheckResources : vérifie si une entité donnée peut accéder à une ressource
      • PlanResources : vérifie à quelles ressources une entité donnée peut accéder
  • SDK et adaptateurs :
    • Fournit des SDK prenant en charge différents langages de programmation
    • Fournit des adaptateurs qui convertissent les réponses PlanResources en requêtes

Cas d’usage

  • Extension de RBAC vers ABAC :
    • Ajout de rôles dynamiques grâce à l’évaluation de conditions à l’exécution
    • Possibilité de politiques d’override détaillées pour des utilisateurs spécifiques
  • Collaboration et déploiement des politiques :
    • Rédaction collaborative des politiques avec l’équipe via Cerbos Hub
    • Déploiement efficace des mises à jour de politiques sur l’ensemble de la flotte de PDP
  • Intégration cloud et edge :
    • Adapté aux services cloud et aux déploiements edge

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.