Cerbos - dilden bağımsız, ölçeklenebilir kullanıcı yetki yönetimi çözümü

 (github.com/cerbos)
6 puan yazan GN⁺ 2024-12-17 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Uygulama kaynakları için güçlü ve bağlam farkındalıklı erişim kontrol kuralları tanımlayabilen bir yetki yönetimi katmanı
  • Basit YAML politikalarıyla yazılır; GitOps tabanlı altyapı üzerinden yönetilip dağıtılabilir
  • Cerbos politika karar noktası (PDP, Policy Decision Point) self-host edilebilir; yüksek erişilebilirlik sağlayan API üzerinden politikaları değerlendirir ve dinamik erişim kararları verir

Cerbos'un başlıca özellikleri

  • Politika yazımı ve dağıtımı:
    • Politikaları YAML formatında tanımlama
    • Politikaları disk, bulut nesne depolama, Git deposu veya veritabanı üzerinden saklama
  • Ölçeklenebilirlik ve entegrasyon:
    • K8s servisi, sidecar, systemd servisi, AWS Lambda gibi çeşitli ortamlarda dağıtılabilir
    • Serverless ve edge dağıtımlarına kolayca entegre edilebilir
  • Güçlü politika yönetimi özellikleri:
    • Basit RBAC'i (Role-Based Access Control) aşarak ABAC (Attribute-Based Access Control) uygular
    • Çalışma anındaki bağlam verilerini kullanarak ayrıntılı koşul değerlendirmesi yapabilir

Temel kavramlar

  • Principal: İşlemi gerçekleştirmek isteyen özne (ör. kullanıcı, uygulama, servis)
  • Action: Öznenin gerçekleştirmek istediği işlem (ör. oluşturma, okuma, güncelleme, silme vb.)
  • Resource: Erişimi kontrol edilen hedef (ör. rapor, makbuz, kart bilgileri vb.)
  • Policies: Kaynak bazlı erişim kurallarını tanımlayan YAML dosyaları
  • Cerbos PDP:
    • Politikaları çalıştıran ve erişim kararları veren stateless servis
    • Başlıca API'ler:
      • CheckResources: Belirli bir öznenin bir kaynağa erişip erişemeyeceğini kontrol eder
      • PlanResources: Belirli bir öznenin hangi kaynaklara erişebileceğini kontrol eder
  • SDK ve adaptörler:
    • Çeşitli programlama dillerini destekleyen SDK'ler sunar
    • PlanResources yanıtlarını sorguya dönüştüren adaptörler sağlar

Kullanım örnekleri

  • RBAC -> ABAC genişlemesi:
    • Çalışma anında koşul değerlendirmesiyle dinamik rol ekleme
    • Belirli kullanıcılar için ayrıntılı politika override'ları uygulama
  • İş birliği ve politika dağıtımı:
    • Cerbos Hub üzerinden ekiple birlikte politika yazımı
    • Tüm PDP filosuna politika güncellemelerini verimli şekilde dağıtma
  • Bulut ve edge ortam entegrasyonu:
    • Bulut tabanlı servisler ve edge dağıtımları için uygundur

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.