Cedar em uma frase
Cedar é a policy language open-source da AWS (lançada em maio de 2023, Apache 2.0), implementada em Rust, com type system explícito e partes formalmente verificadas. É o motor por trás do serviço Amazon Verified Permissions. Foi desenhado para preencher um espaço específico: tipagem forte e analisabilidade estática — algo que Rego (dinâmico) e SpiceDB (data-centric) não oferecem do mesmo jeito.
OrigemAWS — re:Inforce 2023. Time inclui pesquisadores da AWS Automated Reasoning Group.
LinguagemRust. Disponível como crate, CLI, binding Java/Python/Go/JS via FFI.
SchemaObrigatório — define entities, actions, contexts. Type-checked.
ModelosRBAC + ABAC + (parte de) ReBAC via entity hierarchy.
Managed cloudAmazon Verified Permissions (AVP) — Cedar como serviço com Cognito integration.
Formal verificationLemmas em Lean/Dafny para core semantics. Crítico para compliance regulada.
💡
Cedar não é "mais um" — é a primeira policy language mainstream com análise estática rigorosa: você pode provar que duas policies são equivalentes, encontrar policies inalcançáveis, verificar "esta mudança nega acesso a alguém que tinha antes?" via diferencial. Para fintech/govcloud/saúde, isso é o que torna Cedar relevante.
A sintaxe: legibilidade > densidade
policies.cedar
// Permit explícito com scope e condições
permit (
principal in Group::"engineering",
action in [Action::"viewDocument", Action::"editDocument"],
resource in Folder::"engineering-docs"
)
when {
resource.owner == principal ||
principal in resource.collaborators
}
unless {
resource.classification == "secret" &&
!context.mfa_authenticated
};
// Forbid sempre vence — guard absoluto
forbid (
principal,
action,
resource
)
when {
context.ip_address.isInRange("0.0.0.0/0") &&
resource.classification in ["secret", "top-secret"]
};
// Policy template (parametrizada)
permit (
principal == ?principal,
action in [Action::"viewDocument"],
resource == ?resource
);effectpermit ou forbid. Forbid > permit (forbid sempre nega; permit autoriza se nenhum forbid match).
scope (header tipado)principal, action, resource — declarados com tipos. == ou in. Validados contra schema.
when / unlessexpressões booleanas. unless = negação semântica de when. Avaliam atributos e context.
Templates?principal e ?resource são placeholders — instanciados em runtime via API. Caso de uso: sharing per-resource.
Comentários// como em C/Rust. Markdown-friendly em PRs.
Schema: o que distingue Cedar
schema.cedarschema.json
{
"FFV": {
"entityTypes": {
"User": {
"memberOfTypes": ["Group", "Organization"],
"shape": {
"type": "Record",
"attributes": {
"department": { "type": "String" },
"level": { "type": "Long" }
}
}
},
"Group": { "memberOfTypes": ["Organization"] },
"Organization": {},
"Document": {
"memberOfTypes": ["Folder"],
"shape": {
"type": "Record",
"attributes": {
"owner": { "type": "Entity", "name": "User" },
"collaborators": { "type": "Set", "element": { "type": "Entity", "name": "User" } },
"classification": { "type": "String" }
}
}
}
},
"actions": {
"viewDocument": {
"appliesTo": {
"principalTypes": ["User"],
"resourceTypes": ["Document"],
"context": {
"type": "Record",
"attributes": {
"mfa_authenticated": { "type": "Boolean" },
"ip_address": { "type": "String" }
}
}
}
}
}
}
}⚠️
O compiler Cedar valida cada policy contra esse schema: existe Action::"viewDocument"? Aceita principal do tipo Group? resource.classification é String? Erros saem antes de chegar em produção — ao contrário de Rego, onde campo inexistente vira e a policy passa silenciosamente.
Fluxo de avaliação
🗺️ IsAuthorized — Cedar engine
1. Requestprincipal, action, resource, context vindos da app
2. Sliceengine filtra policies relevantes pelo scope (otimização)
3. Eval forbidsqualquer forbid match → DENY imediato
4. Eval permitsalgum permit match → ALLOW; nenhum → DENY default
5. ResultDecision + matched policies + diagnostics
use cedar_policy::{Authorizer, Context, Entities, PolicySet, Request, Schema};
let schema: Schema = serde_json::from_str(SCHEMA_JSON)?.try_into()?;
let policies: PolicySet = POLICIES_TEXT.parse()?;
let entities: Entities = Entities::from_json_str(ENTITIES_JSON, Some(&schema))?;
let request = Request::new(
Some(r#"User::"alice""#.parse()?),
Some(r#"Action::"viewDocument""#.parse()?),
Some(r#"Document::"report-q1""#.parse()?),
Context::from_json_value(json!({
"mfa_authenticated": true,
"ip_address": "10.0.0.5"
}), Some((&schema, &"Action::\"viewDocument\"".parse()?)))?,
Some(&schema),
)?;
let authorizer = Authorizer::new();
let response = authorizer.is_authorized(&request, &policies, &entities);
match response.decision() {
Decision::Allow => println!("granted"),
Decision::Deny => println!("denied: {:?}", response.diagnostics().reason()),
}Amazon Verified Permissions (AVP): Cedar managed
🗺️ AVP arquitetura típica
Amazon Cognito
Custom IdP (OIDC)
Backend service
AVP SDK
Policy Store
Cedar engine
Audit (CloudTrail)
AVP cobra por authorization request. Para SaaS B2B on AWS, é a maneira mais rápida de adicionar autorização fine-grained sem operar engine. Limitações: latência ~10-30ms (call AWS), tier máximo por policy store ~10k policies, sem multi-region active-active (replicação assíncrona).
Cedar vs Rego vs SpiceDB/OpenFGA
| Aspecto | Cedar | Rego (OPA) | SpiceDB / OpenFGA |
|---|---|---|---|
| Paradigma | Policy-as-code, tipado | Policy-as-code, dinâmico | Policy-as-data (tuplas) |
| Schema obrigatório | ✓ entities + actions | ✗ (qualquer JSON) | ✓ schema language |
| Type safety | Forte (compile-time) | Fraca (runtime) | Forte (schema) |
| Análise estática | Excelente (verified) | Boa (opa parse) | Boa (schema validation) |
| Reverse query | Limitada | Via partial eval | Nativa (LookupSubjects) |
| Linguagem | Rust | Go | Go |
| Managed cloud | AVP (AWS) | Styra DAS | Authzed / Auth0 FGA |
| Casos de uso fortes | SaaS, fintech, compliance | Infra/K8s, condições, ABAC | Sharing per-resource |
| Maturidade (2026) | Crescendo rápido | CNCF Graduated, padrão | Maduro, adoção alta |
AspectoParadigma
CedarPolicy-as-code, tipado
Rego (OPA)Policy-as-code, dinâmico
SpiceDB / OpenFGAPolicy-as-data (tuplas)
AspectoSchema obrigatório
Cedar✓ entities + actions
Rego (OPA)✗ (qualquer JSON)
SpiceDB / OpenFGA✓ schema language
AspectoType safety
CedarForte (compile-time)
Rego (OPA)Fraca (runtime)
SpiceDB / OpenFGAForte (schema)
AspectoAnálise estática
CedarExcelente (verified)
Rego (OPA)Boa (opa parse)
SpiceDB / OpenFGABoa (schema validation)
AspectoReverse query
CedarLimitada
Rego (OPA)Via partial eval
SpiceDB / OpenFGANativa (LookupSubjects)
AspectoLinguagem
CedarRust
Rego (OPA)Go
SpiceDB / OpenFGAGo
AspectoManaged cloud
CedarAVP (AWS)
Rego (OPA)Styra DAS
SpiceDB / OpenFGAAuthzed / Auth0 FGA
AspectoCasos de uso fortes
CedarSaaS, fintech, compliance
Rego (OPA)Infra/K8s, condições, ABAC
SpiceDB / OpenFGASharing per-resource
AspectoMaturidade (2026)
CedarCrescendo rápido
Rego (OPA)CNCF Graduated, padrão
SpiceDB / OpenFGAMaduro, adoção alta
Onde Cedar vence
📋 SaaS B2B fintech: compliance audit exige provar que policies estão corretas + multi-tenant + on AWS
✓ Cedar via Amazon Verified Permissions
Formal verification + type safety + schema validation + audit nativo no CloudTrail. Auditores aceitam policies analisáveis estaticamente. Managed AVP reduz ops. Integra com Cognito sem ginástica.
Alt: OPA —
Alt: SpiceDB —
Alt: IAM puro —
- Compliance regulada: govcloud, fintech, healthcare — auditor exige policies provadamente corretas.
- Time pequeno, app on AWS: AVP managed elimina ops.
- Stack Rust ou edge: Cedar é a única engine Rust mainstream — fácil embedar em Lambda@Edge, Cloudflare Workers (via WASM).
- Análise estática crítica: cedar-policy-cli faz validação completa antes de deploy; perfeita para CI.
Anti-patterns Cedar
- Schema-less "por enquanto": você perde 70% do valor do Cedar. Defina o schema desde o dia zero.
- Misturar regras de negócio em policies: policies devem expressar acesso, não lógica de domínio. Cálculo de preço não vai em Cedar.
- Forbid usado como "remove permission": forbid é guard absoluto. Para revogação granular, remova entity hierarchy (User out of Group) — não escreva forbid específico.
- Templates para tudo: templates instanciados crescem rápido; para sharing per-doc com 100k+ docs, considere ReBAC engine ao lado.
Resumo executivo
- Cedar = AWS, 2023, open-source Rust. Policy language tipada com análise estática rigorosa.
- Schema obrigatório (entities + actions) → policies validadas em compile-time.
- Sintaxe SQL-like:
- Cobre RBAC + ABAC + parte de ReBAC via entity hierarchy (parents transitivos).
- Amazon Verified Permissions = Cedar managed. Integra Cognito; pricing por authorization request.
- Formal verification (Lean/Dafny) — diferencial para compliance regulada.
- Vence em: fintech/govcloud, time pequeno on AWS, stack Rust/edge. Complementa: ReBAC engine para sharing per-resource em massa.