Cedarは現代の認証のニーズのために設計された、人間が読みやすく機械が分析可能なポリシー言語である。Kubernetes認可におけるロールベースアクセス制御(RBAC)の課題に対処し、特定のリソースに対するきめ細かなパーミッションを可能にする条件演算子を提供する。
最近、AWSのプリンシパルエンジニアMicah Hausler氏が、CNCFブログでポリシー管理に対するCedarのアプローチについて詳しく説明した。クラウドネイティブ環境でKubernetesのデプロイメントをスケーリングする際、組織はアクセス制御と認証管理の課題に直面する。このようなシナリオにおいて、Kubernetes管理者はさまざまな種類の制御のために異なるポリシーフレームワークやツールを管理しなければならない。2024年第4四半期、CedarはKubernetesとの統合を拡張した。
Cedarを使うことで、Kubernetes管理者は同じ言語とフレームワークを使って認証とアドミッションポリシーを記述できる。CedarはKubernetesのアクセス制御を実施するために、Kubernetes API内の複数の拡張ポイントで採用できる。
/filters:no_upscale()/news/2025/04/cedar-kubernetes-authorization/en/resources/1Kubernetes_Authorization_Cedar-1745768338189.png)
出典 -Cedar:Kubernetes用ポリシー管理の新しいアプローチ
ラベルと属性ベースのアクセス制御により、Cedarはリソースラベルと属性に基づくきめ細かいパーミッションを可能にし、従来は複雑だったセキュリティ境界を作り出す。もう一つの特筆すべき機能は、Kubernetes組み込み型とカスタムリソース定義用のスキーマ生成で、これによりポリシー作成前に検証が可能となる。
CedarはUID、ユーザー名、グループに対するなりすましポリシーの修正を容易にする、なりすまし認証の明示的なサポートも提供する。Cedarは既存のRBAC構成との互換性を維持しているため、組織は現在のセキュリティ体制を大きく変更することなく、徐々にCedarを採用できる。
KubeCon + CloudNativeCon NA 2024において、Permit.ioの開発者リレーションズ担当副社長 Gabriel L. Manor氏がパネルディスカッション-The Policy Engines Showdownをモデレートした。Cedarの代表として、StrongDMのインフラストラクチャーエンジニアリング担当シニアディレクター Joy Scharmen氏は次のように述べた。
CedarはAWSの膨大なIAMの専門知識に基づいており、非常に読みやすく予測可能なポリシー言語です。その分析可能性は際立った特徴であり、ポリシーが意図したとおりに機能することを保証します。
パネルには他のポリシーエンジン代表者: OpenFGA、Topaz、Open Policy Agent (OPA)も参加していた。
技術コミュニティからも良い反響を得ている、LinkedInでのHausler氏にアナウンス投稿もある。
組織はkindなどの開発環境のツールを使ってCedarを利用開始できる。実装や貢献にさらに興味がある読者はCedar for KubernetesのGitHubリポジトリをチェックすることをお勧めする。