近日，亚马逊云科技宣布，Amazon Verified Permissions 已在由西云数据运营的亚马逊云科技中国(宁夏)区域和由光环新网运营的亚马逊云科技中国(北京)区域正式上线。该服务可为应用程序提供细粒度授权，开发者把权限写成策略，而不用编写过多的代码;应用只需调用 Amazon Verified Permissions，就能对 API 和资源的访问进行实时授权校验。

　　Amazon Verified Permissions 是一项面向应用开发的可扩展权限管理与授权服务，底层使用亚马逊云科技开源的策略语言 Cedar。借助 Cedar，权限被写成易读的策略，语言本身以"可分析、可验证"为设计核心，开发者用结构化、声明式的方式描述访问规则，通过静态分析和运行时评估保证授权逻辑正确且一致。该服务支持按角色和属性定义基于策略的访问控制，实现更精细、带上下文感知的权限管理，把安全逻辑从代码移到策略里。例如，HR 应用程序可以调用 Amazon Verified Permissions，根据"Alice 属于人力资源经理组"这一事实，判断她能否有权限查看 Bob 的绩效评估报告，从而用可验证的方式完成安全访问控制。

　　通过 Amazon Verified Permissions，用户能够为应用资源提供安全的委托授权，并基于身份实现持续授权，这正是亚马逊云科技零信任架构的核心原则之一。十多年来，亚马逊云科技始终坚持零信任安全，把零信任理念融入身份与访问管理体系。如今，企业员工需要在安全的前提下从任何地点访问业务应用，零信任的核心正是"访问数据不能只看网络位置"，而要对用户和系统的身份及可信度进行强校验，并强制执行基于身份的细粒度授权。亚马逊云科技的身份与访问管理服务 Amazon Identity and Access Management (Amazon IAM)每秒处理超 10 亿次 API 调用，为全球客户提供稳定、安全的访问控制基础。亚马逊云科技也不断推出支持零信任架构的核心服务和功能，帮助客户更轻松地在自己的工作负载中构建零信任能力。