Beziehungen zwischen expliziten und standardmäßigen Ablehnungen in der Amazon SQS Access Policy Language - Amazon Simple Queue Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beziehungen zwischen expliziten und standardmäßigen Ablehnungen in der Amazon SQS Access Policy Language

Wenn eine SQS Amazon-Richtlinie nicht direkt für eine Anfrage gilt, führt die Anfrage zu einer Default-deny. Wenn ein Benutzer beispielsweise die Erlaubnis zur Nutzung von Amazon beantragt, SQS aber die einzige Richtlinie, die für den Benutzer gilt, DynamoDB verwenden kann, führen die Anfragen zu einer Standardverweigerung.

Wenn eine Bedingung in einer Anweisung nicht erfüllt ist, hat die Anforderung default-deny zur Folge. Wenn alle Bedingungen einer Anweisung erfüllt sind, hat dies für diese Anforderung abhängig vom Wert des Elements Effect (Effekt) entweder Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf oder Explicit-deny zur Folge. In Richtlinien ist nicht festgelegt, was geschieht, wenn eine Bedingung nicht erfüllt ist, daher ist das Ergebnis in diesem Fall default-deny. Angenommen, Sie möchten Anforderungen, die aus der Antarktis stammen, ablehnen. Sie erstellen die Richtlinie A1, um Zugriff nur dann zu gewähren, wenn Anforderungen von außerhalb der Antarktis kommen. Das folgende Diagramm veranschaulicht die SQS Amazon-Richtlinie.

Richtlinie A1, in der „Wirkung“ gleich „Zulassen“ und „Bedingung“ steht, wenn die Anfrage nicht aus der Antarktis stammt.

Wenn ein Benutzer eine Anforderung aus den USA sendet, wird die Bedingung erfüllt (die Anforderung stammt nicht aus der Antarktis), und die Anforderung hat allow zur Folge. Wenn ein Benutzer allerdings eine Anforderung aus der Antarktis sendet, ist die Bedingung nicht erfüllt und die Anforderung führt standardmäßig zu default-deny. Sie können das Ergebnis von default-deny ändern, indem Sie Richtlinie A2 erstellen, die einer Anforderung den Zugriff ausdrücklich verweigert, wenn sie aus der Antarktis stammt. Diese Richtlinie ist in der folgenden Abbildung dargestellt.

Richtlinie A2, wobei Effect gleich Deny und Condition gleich ist, ob die Anfrage aus der Antarktis kommt.

Wenn ein Benutzer eine Anforderung aus der Antarktis sendet, ist die Bedingung erfüllt und die Anforderung führt zu explicit-deny.

Der Unterschied zwischen default-deny und explicit-deny ist wichtig, da allow zwar eine standardmäßige Ablehnung, aber keine explizite Zugriffsverweigerung außer Kraft setzen kann. Beispiel: Richtlinie B lässt Anforderungen zu, wenn sie am 1. Juni 2010 eingehen. Das folgende Diagramm vergleicht die Kombination dieser Richtlinie mit Richtlinie A1 und Richtlinie A2.

Ein side-by-side Vergleich zwischen Szenario 1 und Szenario 2.

In Szenario 1 liefert Richtlinie A1 das Ergebnis default-deny und Richtlinie B allow, weil die Richtlinie Anforderungen zulässt, die am 1. Juni 2010 eingehen. Das allow aus Richtlinie B überschreibt default-deny aus Richtlinie A1 und die Anforderung wird zugelassen.

In Szenario 2 hat Richtlinie B2 explicit-deny und Richtlinie B allow zur Folge. Das allow aus Richtlinie B wird durch explicit-deny aus Richtlinie A2 überschrieben und die Anforderung wird abgelehnt.