Amazon Verified Permissions実践入門〜Cedar活用とAppSync導入事例/Practical Introduction to Amazon Verified Permissions

Amazon Verified Permissions 実践入門〜Cedar 活用と AppSync 導入事例〜 JAWS FESTA
2025 in Kanazawa 2025-10-11 株式会社永和システムマネジメントプリンシパルエンジニア村上雅彦 a.k.a @fossamagna Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 1

自己紹介名前: 村上雅彦所属: 株式会社永和システムマネジメントコミュニティ活動: Amplify Japan User
Group 運営メンバー、AWS Community Builder (DevTools since 2022) X (Twitter): @fossamagna GitHub: @fossamagna Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 2

アジェンダ 1. 認可実装での課題と背景 2. Amazon Verified Permissions(AVP)/Cedar の基礎 3. Amplify
Gen2 / AppSync 概要 4. AVP を AppSync に統合する（Amplify Gen2 ベース） 5. Cedar ポリシーのテスト 6. まとめ Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 3

Amazon Verified Permissions を採用した背景 AWS Amplify 標準機能だけでは表現が難しく複雑な認可要件が発生権限情報はアプリケーションのデータとして管理したい(属性ベースのアクセス制御) アプリロジックと認可を分離して実装したい(AWS
Amplify が自動生成したコードも利用したい) Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 4

Amazon Verified Permissions(AVP) と Cedar AVP: Cedar ポリシーを評価するマネージドサービス Cedar: 読みやすいポリシー言語（permit/forbid、Principal/Action/Resource）
permit( principal in Group::"Viewrs", action == Action::"read", resource == File::"144887AF-402E-4BC3-897E-3A62F38CC8D7" ); 認可判定は IsAuthorized で問い合わせ、結果(allow/deny)が返ってくる Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 5

アプリのデータ構造アプリのデータは Project, Folder, File がそれぞれ 1 対多の関係をもつ階層構造 ProjectMember で
Project に対するユーザーとそのロール( owner , contributor , viewer )、 FolderMember で Folder に対するユーザーとロールを管理する。これらの権限は継承される Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 6

属性ベース(ABAC)のポリシー定義 principal.viewerProjects に含まれる Project 配下の Folder、または、 principal.viewerFolders に含まれる Folder に対して
Query.getFolder というアクションを許可するポリシー権限に関する情報を Cedar 以外のストアで管理し、リソースへのきめ細やかなアクセスコントロールを必要とするため ABAC を採用 permit ( principal, action == Action::"Query.getFolder", resource ) when { resource in principal.viewerProjects || resource in principal.viewerFolders }; Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 7

AVP(IsAuthorized) のリクエスト ID: folder-123 の Folder リソースに対して Query.getFolder の操作を実行する fossamagna
というプリンシパルの承認を判断するためのリクエスト { "principal": { "entityType": "App::User", "entityId": "fossamagna" }, "action": { "actionType": "Action", "actionId": "Query.getFolder" }, "resource": { "entityType": "App::Folder", "entityId": "folder-123" }, "entities": { "entityList": [ { "identifier": { "entityType": "App::Folder", "entityId": "folder-123" }, "parents": [{ "entityType": "App::Project", "entityId": "project-123" }] }, ... { "identifier": { "entityType": "App::User", "entityId": "fossamagna" }, "attributes": { "viewerProjects": {"set":[{"entityIdentifier": { "entityType": "App::Project", "entityId": "project-123" }}]} } } ] }, "policyStoreId": "PSEXAMPLEabcdefg111111" } Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 8

AVP(IsAuthorized) のレスポンス decision の ALLOW / DENY で結果を判断 { "determiningPolicies":
[ { "PolicyId": "SPEXAMPLEabcdefg111111" } ], "decision": "ALLOW", "errors": [] } Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 9

AWS Amplify Gen2 / AppSync 概要 AWS Amplify Gen2: TypeScript
でインフラ/データ API を宣言、すぐに AppSync にデプロイして API を構築可能 AppSync: GraphQL API、パイプラインリゾルバーで任意の処理をパイプライン状に繋げて実装できる（ビジネスロジックの前後に認可を挿入しやすい）データソース: DynamoDB / HTTP / Lambda / RDS など Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 10

AppSync のリゾルバーの動作と認可処理の実装方針 AppSync は GraphQL リクエストに対してフィールド毎に対応するリゾルバーを呼び出す getFolder
-> Query.getFolder files -> Folder.files project -> Folder.project データモデル毎のリゾルバー、それぞれで認可チェックが必要 Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 11

自動生成される Query.getFolder のパイプラインリゾルバー 1. Amplify(Cognito)の認証 2. DynamoDB からのデータ取得 Amazon Verified
Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 12

認可処理を追加した Query.getFolder のパイプラインリゾルバー 1. principalAttrsFn: AVP へのリクエストに含める Principal の属性情報を取得する関数 2.
isAuthorizedFn: AVP の IsAuthorized の HTTP API を呼び出す関数 Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 13

自動生成される Mutation.updateFolder のパイプラインリゾルバー 1. Amplify(Cognito)の認証 2. DynamoDB からのデータ取得(更新対象データの存在チェック) 3. DynamoDB
に対する対象データの更新処理 Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 14

認可処理を追加した Mutation.updateFolder のパイプラインリゾルバー 1. principalAttrsFn: AVP へのリクエストに含める Principal の属性情報を取得する関数
2. GetItemFn: AVP へのリクエストに含める Resource を取得する関数 3. isAuthorizedFn: AVP の IsAuthorized の HTTP API を呼び出す関数 Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 15

Cedar ポリシーの自動テスト @cedar-policy/cedar-wasm を利用して IsAuthorized が実行可能 vitest などと組み合わせて自動テストでポリシーのテストが可能 import {
test, expect } from "vitest"; import * as cedar from "@cedar-policy/cedar-wasm/nodejs"; test("FolderMemberにviewerで登録された場合、Query.getFolderの認可判定がALLOWになること", () => { const policies = new cedar.PolicySet(/* Cedar policy text */); const result = cedar.isAuthorized({ principal: { type: "User", id: "fossamagna" }, action: { type: "Action", id: "Query.getFolder" }, resource: { type: "Folder", id: "folder-123" }, entities: {...}, policies, }); expect(result.response.decision).toBe("allow"); }); Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 16

まとめ AVP/Cedar により複雑なモデル・認可ルールに対応可能 AppSync パイプラインリゾルバーで認可処理を追加可能 DynamoDB データソース、HTTP データソースにより低遅延を実現初期実装は
Lambda リゾルバー + AppSync API 呼び出しを利用したため性能問題が発生ポリシーとアプリロジックが分離されるので並行開発も可能 Cedar ポリシーをテスト自動化で品質を担保認可処理が必要な場合には AVP を検討してみてください Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 17

参考資料サンプルリポジトリ github.com/fossamagna/amplify-verified-permissions-examples このスライドの内容を実際に動かして確認可能 Amazon Verified Permissions ユーザーガイド Cedar policy
language AWS AppSync GraphQL デベロッパーガイド Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in Kanazawa 18

ご清聴、ありがとうございました！ Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in
Kanazawa 19

Amazon Verified Permissions実践入門〜Cedar活用とAppSy...

Amazon Verified Permissions実践入門〜Cedar活用とAppSync導入事例/Practical Introduction to Amazon Verified Permissions

MURAKAMI Masahiko

More Decks by MURAKAMI Masahiko

Other Decks in Programming

Featured

Transcript

Amazon Verified Permissions 実践入門〜Cedar 活用と AppSync 導入事例〜 JAWS FESTA

自己紹介名前: 村上雅彦所属: 株式会社永和システムマネジメントコミュニティ活動: Amplify Japan User

アジェンダ 1. 認可実装での課題と背景 2. Amazon Verified Permissions(AVP)/Cedar の基礎 3. Amplify

Amazon Verified Permissions(AVP) と Cedar AVP: Cedar ポリシーを評価するマネージドサービス Cedar: 読みやすいポリシー言語（permit/forbid、Principal/Action/Resource）

アプリのデータ構造アプリのデータは Project, Folder, File がそれぞれ 1 対多の関係をもつ階層構造 ProjectMember で

属性ベース(ABAC)のポリシー定義 principal.viewerProjects に含まれる Project 配下の Folder、または、 principal.viewerFolders に含まれる Folder に対して

AVP(IsAuthorized) のリクエスト ID: folder-123 の Folder リソースに対して Query.getFolder の操作を実行する fossamagna

AVP(IsAuthorized) のレスポンス decision の ALLOW / DENY で結果を判断 { "determiningPolicies":

AWS Amplify Gen2 / AppSync 概要 AWS Amplify Gen2: TypeScript

AppSync のリゾルバーの動作と認可処理の実装方針 AppSync は GraphQL リクエストに対してフィールド毎に対応するリゾルバーを呼び出す getFolder

自動生成される Query.getFolder のパイプラインリゾルバー 1. Amplify(Cognito)の認証 2. DynamoDB からのデータ取得 Amazon Verified

認可処理を追加した Query.getFolder のパイプラインリゾルバー 1. principalAttrsFn: AVP へのリクエストに含める Principal の属性情報を取得する関数 2.

自動生成される Mutation.updateFolder のパイプラインリゾルバー 1. Amplify(Cognito)の認証 2. DynamoDB からのデータ取得(更新対象データの存在チェック) 3. DynamoDB

認可処理を追加した Mutation.updateFolder のパイプラインリゾルバー 1. principalAttrsFn: AVP へのリクエストに含める Principal の属性情報を取得する関数

Cedar ポリシーの自動テスト @cedar-policy/cedar-wasm を利用して IsAuthorized が実行可能 vitest などと組み合わせて自動テストでポリシーのテストが可能 import {

まとめ AVP/Cedar により複雑なモデル・認可ルールに対応可能 AppSync パイプラインリゾルバーで認可処理を追加可能 DynamoDB データソース、HTTP データソースにより低遅延を実現初期実装は

参考資料サンプルリポジトリ github.com/fossamagna/amplify-verified-permissions-examples このスライドの内容を実際に動かして確認可能 Amazon Verified Permissions ユーザーガイド Cedar policy

ご清聴、ありがとうございました！ Amazon Verified Permissions 実践入門〜Cedar活用とAppSync導入事例〜 JAWS FESTA 2025 in

Amazon Verified Permissions実践入門 〜Cedar活用とAppSy...

Amazon Verified Permissions実践入門 〜Cedar活用とAppSync導入事例/Practical Introduction to Amazon Verified Permissions

More Decks by MURAKAMI Masahiko

Other Decks in Programming

Featured

Transcript

Amazon Verified Permissions実践入門〜Cedar活用とAppSy...

Amazon Verified Permissions実践入門〜Cedar活用とAppSync導入事例/Practical Introduction to Amazon Verified Permissions