AWS re:Invent 2024’te GA olan Cedar Policy Language 2026 Q1 itibarıyla 28 bin GitHub yıldızı ve 142 kurumsal müşteri tarafından AWS Verified Permissions üzerinden production’da kullanılıyor. Klasik IAM policy modelinin yetersiz kaldığı fine-grained authorization senaryolarında Cedar yeni nesil bir authz katmanı sunuyor.
Cedar Policy Language 2026 Pazarı ve Bağlam
Cedar AWS tarafından 2023’te open source olarak yayınlanan, Rust ile yazılmış, formally verified policy dilidir. AWS Verified Permissions ise Cedar’ı managed authorization service olarak sunan AWS product’ı; 0,0000125 USD/request fiyatlandırması ile 2025’te 142 kurumsal müşteriye ulaştı. Cedar dili AWS dışında Permit.io, Oso ve Cerbos gibi authz platform’larında da kabul görüyor; CNCF authorization landscape’inde 2025 itibarıyla en hızlı büyüyen policy dili.
Klasik IAM modelinde rol-tabanlı erişim (RBAC) yetersiz kalıyor. Forrester 2025 raporuna göre kurumsal SaaS uygulamalarının yüzde 67’si artık attribute-based (ABAC) veya relationship-based (ReBAC) authorization’a ihtiyaç duyuyor. Cedar her üç modeli (RBAC + ABAC + ReBAC) birlikte ifade edebilen tek policy dili. Stripe, Canva, Notion ve Linear gibi modern SaaS şirketleri authorization katmanlarını Cedar/OpenFGA/Zanzibar üçlüsünden birine taşıyor.
Cedar Dil Modelinin Teknik Boyutu
Cedar policy’leri permit veya forbid statement’ları ile başlar. Principal (kim), action (ne yapıyor), resource (ne üzerinde) ve when/unless condition’ları policy gövdesini oluşturur. Cedar formally verified; AWS bunu Dafny ile teorem ispatı yaparak garantiliyor. Policy değerlendirme sub-millisecond seviyesinde; AWS Verified Permissions p99 latency 8 ms ve throughput limit cell başına 500 RPS.
| Özellik | Cedar | OPA Rego | OpenFGA |
|---|---|---|---|
| Paradigma | RBAC+ABAC+ReBAC | ABAC odaklı | ReBAC odaklı |
| Formally Verified | Evet (Dafny) | Hayır | Hayır |
| Managed Service | AWS Verified Permissions | Styra DAS | Auth0 FGA |
| Policy Latency p99 | 8 ms | 15 ms | 12 ms |
| Storage Backend | AWS managed | In-memory | Postgres/MySQL |
| Fiyat (1M request) | 12,50 USD | Self-host bedava | 8 USD (Auth0) |
Modern Authz Mimarisi ve Karşılaştırma
Cedar production deployment için iki ana yaklaşım var: AWS Verified Permissions managed service veya cedar-rust SDK ile in-process embedded değerlendirme. Embedded mode mikroservis içinde sub-millisecond latency sağlar ama policy distribution problemi çözülmek zorunda. Managed service ile policy management UI, audit log ve schema validation hazır gelir; tek dezavantaj cold-start ilk request 200 ms gecikme.
- Embedded (cedar-rust): Sub-ms latency, mikroservis içinde, policy GitOps ile sync.
- AWS Verified Permissions: Managed, audit hazır, ama 8 ms p99 latency ve regional limit.
- Permit.io: Cedar + GUI editör, ortalama 18 ms p99, ücretsiz tier 5K MAU.
- Oso Cloud: Cedar fork dili (Polar), self-host veya cloud, IDE eklentisi güçlü.
- Hibrit: Cedar Verified Permissions write için, cedar-rust read için kombinasyon.
İlgili konu: Zero trust mimari ve authorization Cedar entegrasyonunu detaylandırıyor.
Implementation Pattern ve Production Best Practices
Production deployment için policy schema mutlaka tanımlanmalı; entity types, action types ve common types tip güvenliği sağlar. AWS Verified Permissions policy store creation aşamasında schema dosyası upload edilir; sonradan değiştirildiğinde mevcut policy’ler validation’dan geçirilir. Cedar templates ile parametrik policy yazımı boilerplate’i yüzde 78 azaltıyor; örneğin “?principal can read ?resource if owner” pattern’i tek template ile 1000+ policy’ye dönüşür.
Policy testing TDD yaklaşımıyla yapılmalı. cedar-cli authorize komutu ile her policy değişikliği için test case’ler çalıştırılır. Cedar Playground (browser tabanlı) prototip için ideal ama production policy’leri her zaman versiyonlu Git repository’de tutulmalı. Audit log için AWS Verified Permissions CloudTrail integration default kapalı; manuel açılmalı ve her IsAuthorized çağrısı için 1,2 KB log üretiyor.
Operasyon, İzleme ve Maliyet Modellemesi
AWS Verified Permissions fiyatlandırması granular: 1 milyon authorization request 12,50 USD, policy store 0 USD (free), schema validation 0 USD. Yoğun SaaS uygulamasında günlük 50M request 625 USD/gün, aylık 18.750 USD seviyesinde. Embedded cedar-rust ise hiçbir per-request maliyet getirmiyor; sadece compute (mikroservis CPU/memory) maliyeti var. 1000 RPS authz workload için embedded yaklaşım 80 USD/ay (Fargate 0,5 vCPU), managed 5400 USD/ay.
| Senaryo | RPS | Aylık Request | Verified Permissions | Embedded cedar-rust | Tasarruf |
|---|---|---|---|---|---|
| Küçük SaaS | 10 RPS | 26M | 325 USD | 40 USD | %88 |
| Orta SaaS | 100 RPS | 260M | 3.250 USD | 80 USD | %97 |
| Büyük SaaS | 1000 RPS | 2,6 milyar | 32.500 USD | 320 USD | %99 |
| Enterprise | 5000 RPS | 13 milyar | 162.500 USD | 1.200 USD | %99 |
| Hyperscale | 20000 RPS | 52 milyar | 650.000 USD | 4.800 USD | %99 |
İlgili konu: Cloud maliyet optimizasyon FinOps pattern managed vs self-host kararını ele alıyor.
Sektörel Use Case ve Türkiye Pratikleri
Cedar 2025 yılında ABD’de Notion, Stripe ve Canva gibi SaaS şirketleri tarafından authz katmanlarında benimsendi. Türkiye’de Trendyol ve Hepsiburada Cedar’ı seller portal authorization’ında 2025 Q3’te pilot olarak devreye aldı; multi-tenant marketplace senaryolarında özellikle fine-grained product visibility için kullanılıyor. Türkiye fintech sektöründe Papara ve Param 2026 başında Cedar değerlendirme aşamasında olduklarını duyurdu.
Avrupa’da DORA Article 9 ICT risk management ve PSD2 strong customer authentication requirements fine-grained authorization adopsiyonunu yüzde 84 artırdı. ENISA 2025 Cloud Security raporu Avrupa fintech’lerinin yüzde 56’sının 2026’da modern authz layer’a geçmeyi planladığını belgeliyor. AWS Verified Permissions Frankfurt, Dublin ve Stockholm region’larında 2025 Q4’te GA oldu.
Kurumsal Cedar Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Mevcut authz logic’in (genelde if/else koda gömülü) Cedar’a migration’ı 8-16 hafta sürebiliyor; önce comprehensive audit şart.
- Cedar schema design upfront yapılmazsa policy refactoring’i pahalı oluyor; entity hierarchy ilk gün netleştirilmeli.
- Policy testing kültürü yok; cedar-cli ile TDD yaklaşımı ekibe öğretilmezse production’da bug çıkıyor.
- Templates kullanılmıyor; 1000+ tekil policy bakım maliyeti 4 FTE’ye çıkabiliyor.
- AWS Verified Permissions cold-start ilk request 200 ms gecikme; warm-up strategy kritik.
- Audit log volume tahmini düşük yapılıyor; production öncesi 7 gün shadow test ile boyutlama yapılmalı.
Sonuç
2026 yılında Cedar Policy Language modern authorization mimarisinde olgun, formally verified, multi-paradigm bir çözüm olarak konumlanıyor. RBAC+ABAC+ReBAC kombinasyonunu tek dilde ifade edebilmesi, AWS Verified Permissions ile managed deployment seçeneği ve embedded cedar-rust ile sub-ms latency sağlaması Cedar’ı kurumsal authz katmanı için cazip kılıyor. Cedar Policy resmi sitesi ve AWS Verified Permissions dokümantasyonu implementation rehberlerini detaylandırıyor. Migration projeleri 12-20 hafta arasında değişiyor; schema design, policy template tasarımı ve TDD kültürü kurumsal başarının üç temel piları. Hyperscale workload’larda embedded yaklaşım yüzde 99 maliyet tasarrufu sağlıyor; orta ölçekli SaaS için managed Verified Permissions operasyonel basitlik açısından mantıklı tercih.
Sıkça Sorulan Sorular
Cedar mı OPA Rego mu seçmeliyim?
Authorization odaklı (kim, ne yapabilir, neye) Cedar; genel policy (admission control, data validation, governance) için OPA Rego; ikisi farklı kategoriler ve kombinasyon mümkün.
AWS Verified Permissions hangi region’larda var?
2025 Q4 itibarıyla us-east-1, us-east-2, us-west-2, eu-west-1, eu-central-1, eu-north-1, ap-southeast-1, ap-northeast-1; toplam 8 region production’da.
Cedar embedded performance nasıl?
cedar-rust SDK sub-millisecond p99 latency sağlıyor; 1000 RPS workload için 0,5 vCPU yeterli ve hiçbir per-request maliyet getirmiyor.
Cedar formally verified ne anlama gelir?
Dafny teorem ispatlama dili ile policy evaluation engine’in matematiksel doğruluğu kanıtlanmış; soundness ve completeness garantili, klasik policy dillerinde bu yok.
Mevcut RBAC sistemini Cedar’a nasıl migrate ederim?
Önce entity hierarchy ve action taxonomy çıkarılır, sonra RBAC kuralları permit statement’larına dönüştürülür; cedar-cli ile policy testing TDD ile yapılır; migration 8-16 hafta sürer.
Ömer Önal
Mayıs 23, 2026Cedar’ın formally verified olması kurumsal güven için kritik fark yaratıyor. AWS Verified Permissions managed yaklaşımı POC için ideal ama hyperscale workload’larda embedded cedar-rust yüzde 99 maliyet tasarrufu sağlıyor. Trendyol marketplace projelerinde authz logic refactoring’i 8-16 hafta sürüyor; entity hierarchy ilk gün netleştirilmezse migration pahalı oluyor.