以下是 NIST SP 800-204B 的摘錄:
可以通過配置身份驗證和存取控制策略來實施對微服務的細粒度存取控制。這些策略在服務網格的控制平面中定義,映射到低級配置,並推送到構成服務網格數據平面的邊車代理(sidecar proxies)中。
授權策略,就像它們的身份驗證對應物一樣,可以在服務級別和最終用戶級別指定。此外,授權策略是基於存取控制模型的構造來表達的,並且可能會根據應用程序和企業級指令的性質而有所不同。此外,存取控制數據的位置可能因企業中的身份和存取管理基礎設施而異。這些變化導致以下變量:
● 兩個授權級別——服務級別和最終用戶級別
● 用於表達授權策略的存取控制模型
● 存取控制數據在集中或外部授權服務器中的位置或作為頭數據攜帶
服務網格中支持的存取控制使用抽象來分組一個或多個策略組件(在第 4.5.1 節中描述),用於指定服務級別或最終用戶級別的授權策略。由於基於微服務的應用程序被實現為 API(例如,表現層狀態轉換(REST)ful API),使用鍵/值對描述的授權策略組件將具有與 API 相關的屬性,包括相關的網絡協議。授權策略的類型有:
● 服務級授權策略
● 最終用戶級授權策略
● 基於模型的授權策略
參考
. NIST SP 800-204B
資料來源: Wentz Wu QOTD-20210830
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
