Die wichtigsten Konzepte der SNS Amazon-Zugriffsrichtlinie - Amazon Simple Notification Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die wichtigsten Konzepte der SNS Amazon-Zugriffsrichtlinie

In den folgenden Abschnitten werden die Konzepte beschrieben, die Sie in Bezug auf die Verwendung der Zugriffskontrollsprache kennen sollten. Sie sind logisch angeordnet, das heißt, die wichtigsten Konzepte befinden sich ganz oben in der Liste.

Berechtigung

Eine Berechtigung ist das Konzept, eine bestimmte Art des Zugriffs auf eine bestimmte Ressource zu erteilen bzw. zu verweigern. Berechtigungen folgen im Allgemeinen dieser Form: "A darf (bzw. darf nicht) B bei C tun, wenn D gilt". Zum Beispiel hat Jane (A) die Erlaubnis, (B) in TopicA (C) zu veröffentlichen, solange sie das HTTP Protokoll (D) verwendet. Jedes Mal, wenn Jane eine Veröffentlichung zum Thema A vornimmt, prüft der Service, ob Jane dazu berechtigt ist und ob die Anforderung die Bedingungen erfüllt, die für die Berechtigung vorgegeben sind.

Statement

Eine Anweisungist die formelle Beschreibung einer einzelnen Berechtigung, die in der Zugriffskontrollsprache verfasst wird. Sie schreiben eine Anweisung stets als Teil eines umfassenderen Containerdokuments, das als Richtlinie bezeichnet wird (siehe nächstes Konzept).

Richtlinie

Eine Richtlinie ist ein Dokument (verfasst in der Zugriffskontrollsprache), das als Container für eine oder mehrere Anweisungen fungiert. Eine Richtlinie könnte beispielsweise zwei Anweisungen enthalten: eine Anweisung, die besagt, dass Jane unter Verwendung des E-Mail-Protokolls ein Abonnement durchführen darf, und eine andere, die besagt, dass Bob nicht zum Thema A veröffentlichen darf. Die folgende Abbildung zeigt ein analoges Szenario mit zwei Richtlinien: Eine besagt, dass Jane unter Verwendung des E-Mail-Protokolls abonnieren darf, und eine andere, dass Bob nicht zum Thema A veröffentlichen darf.

Vergleicht zwei Arten der Organisation von Grundsatzerklärungen in AmazonSNS. Auf der linken Seite enthält eine einzelne Richtlinie (Richtlinie A) zwei Aussagen. Auf der rechten Seite sind dieselben zwei Aussagen auf zwei Richtlinien aufgeteilt, wobei jede Richtlinie eine Aussage enthält. Das Diagramm zeigt, dass diese beiden Ansätze in Bezug auf die Definition und Durchsetzung von Berechtigungen gleichwertig sind.

In Richtliniendokumenten sind nur ASCII Zeichen zulässig. Sie können das Szenario verwenden aws:SourceAccount und aws:SourceOwner umgehen, in dem Sie andere AWS Dienste hinzufügen müssen, ARNs die ASCII Nichtzeichen enthalten. Sehen Sie sich die Unterschiede zwischen aws:SourceAccount im Vergleich zu aws:SourceOwner an.

Aussteller

Der Aussteller ist die Person, die eine Richtlinie schreibt, um Berechtigungen für eine Ressource zu gewähren. Der Emittent ist (per Definition) immer der Eigentümer der Ressource. AWS erlaubt AWS Dienstbenutzern nicht, Richtlinien für Ressourcen zu erstellen, die ihnen nicht gehören. Wenn John der Eigentümer der Ressource ist, AWS authentifiziert er Johns Identität, wenn er die Richtlinie einreicht, die er zur Erteilung von Berechtigungen für diese Ressource verfasst hat.

Auftraggeber

Der Prinzipal ist die Person bzw. sind die Personen, die die Berechtigung in der Richtlinie erhalten. In der Anweisung "A ist berechtigt, B bei C zu tun, sofern D gilt" ist der Prinzipal "A". Sie können den Prinzipal in einer Richtlinie auf "alle" festlegen (d. h. Sie können einen Platzhalter angeben, der alle Personen umfasst). Sie können dies z. B. tun, wenn Sie den Zugriff nicht basierend auf der tatsächlichen Identität des Anforderers einschränken möchten, sondern aufgrund anderer Identifikationsmerkmale (z. B. der IP-Adresse des Anforderers).

Aktion

Die Aktion ist die Aktivität, die der Prinzipal ausführen darf. Die Aktion ist das „B“ in der Aussage „A ist berechtigt, B bei C zu tun, sofern D gilt“. In der Regel handelt es sich bei der Aktion nur um den Vorgang in der Anfrage an AWS. Zum Beispiel sendet Jane eine Anfrage an Amazon SNS mit Action=Subscribe. Sie können in einer Richtlinie eine oder mehrere Aktionen angeben.

Ressource

Die Ressource ist das Objekt, für die der Prinzipal Zugriff anfordert. In der Anweisung "A ist berechtigt, B bei C zu tun, sofern D gilt" ist die Ressource das "C".

Bedingungen und Schlüssel

Bedingungen sind jegliche Einschränkungen oder Details hinsichtlich der Berechtigung. Die Bedingung ist das D in der Aussage „A ist berechtigt, B bei C zu tun, sofern D gilt“. Der Teil der Richtlinie, der die Bedingungen festlegt, kann der zugleich der ausführlichste und komplexeste aller Bestandteile sein. Typische Bedingungen betreffen:

  • Datum und Uhrzeit (z. B.: Die Anfrage muss vor einem bestimmten Tag eintreffen.)

  • IP-Adresse (z. B. muss die IP-Adresse des Anfragenden Teil eines bestimmten CIDR Bereichs sein)

Ein Schlüssel ist das besondere Merkmal, das die Grundlage für die Einschränkung des Zugriffs bildet, z. B. das Datum und die Uhrzeit der Anfrage.

Sie verwenden Bedingungen und Schlüssel zusammen, um die Einschränkung auszudrücken. Am besten lässt sich anhand eines Beispiel zeigen, wie Sie eine Einschränkung implementieren: Wenn Sie den Zugriff auf die Zeit vor dem 30. Mai 2010 einschränken möchten, verwenden Sie die Bedingung DateLessThan. Sie verwenden den Schlüssel namensaws:CurrentTimeund setzen Sie es auf den Wert2010-05-30T00:00:00Z. AWS definiert die Bedingungen und Schlüssel, die Sie verwenden können. Der AWS Service selbst (z. B. Amazon SQS oder AmazonSNS) kann auch dienstspezifische Schlüssel definieren. Weitere Informationen finden Sie unter SNSAPIAmazon-Berechtigungen: Referenz zu Aktionen und Ressourcen.

Auftraggeber

Der Anforderer ist die Person, die eine Anfrage an einen AWS -Service sendet und um Zugriff auf eine bestimmte Ressource bittet. Der Anforderer sendet eine Anfrage an AWS , die Folgendes besagt: "Erlaubst du mir, B bei C auszuführen, wenn D gilt?".

Bewertung

Bei der Bewertung entscheidet der AWS Service anhand der geltenden Richtlinien, ob eine eingehende Anfrage abgelehnt oder zugelassen werden sollte. Informationen zur Bewertungslogik finden Sie unter Auswertungslogik.

Auswirkung

Die Auswirkung ist das Ergebnis, das eine Richtlinienanweisung zum Bewertungszeitpunkt zurückgeben soll. Sie geben diesen Wert beim Schreiben der Anweisungen in einer Richtlinie an. Die mögliche Werte sind Zugriffsverweigerung und Zugriffserlaubnis.

Sie können beispielsweise eine Richtlinie schreiben, die eine Anweisung enthält, die alle Anfragen von der Antarktis (Auswirkung = Zugriffsverweigerung, da in der Anfrage eine IP-Adresse verwendet wird, die der Antarktis zugewiesen ist) ablehnt. Sie könnten auch eine Richtlinie schreiben, die eine Anweisung enthält, die alle Anfragen, die nicht von der Antarktis stammen, zulässt (Auswirkung = Zugriffserlaubnis, da die Anfrage nicht von der Antarktis stammt). Diese beiden Anweisungen scheinen zwar das Gleiche zu tun, unterscheiden sich aber nach der Logik der Zugriffskontrollsprache. Weitere Informationen finden Sie unter Auswertungslogik.

Zwar gibt es für die Angabe der Auswirkung (Zulassen oder Ablehnen) nur zwei mögliche Werte, dennoch kann es bei der Bewertung der Richtlinie drei unterschiedliche Ergebnisse geben: standardmäßige Ablehnung, Zugriffserlaubnis oder explizite Zugriffsverweigerung. Weitere Informationen finden Sie in den folgenden Konzepten und unter Auswertungslogik.

Standardmäßige Ablehnung

Eine standardmäßige Ablehnung ist das Standardergebnis einer Richtlinie, wenn weder "Zugriffserlaubnis" noch "explizite Zugriffsverweigerung" vorhanden sind.

Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf

Zugriffserlaubnis resultiert aus einer Anweisung, die die Auswirkung "Zugriffserlaubnis" hat, davon ausgehend, dass alle angegebenen Bedingungen erfüllt sind. Beispiel: Alle Anfragen zulassen, wenn sie am 30. April 2010 vor 13:00 Uhr eingehen. Durch "Zugriffserlaubnis" werden alle standardmäßigen Ablehnungen überschrieben, niemals jedoch eine explizite Zugriffsverweigerung.

Explizite Zugriffsverweigerung

Eine explizite Zugriffsverweigerung resultiert aus einer Anweisung, die die Auswirkung "Zugriffsverweigerung" hat, davon ausgehend, dass alle angegebenen Bedingungen erfüllt sind. Beispiel: Alle Anfragen ablehnen, wenn sie von der Antarktis stammen. Alle Anfragen von der Antarktis werden immer abgelehnt, unabhängig davon, was andere Richtlinien ggf. erlauben.