Relations entre les refus explicites et les refus par défaut dans le langage de politique SQS d'accès d'Amazon - Amazon Simple Queue Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Relations entre les refus explicites et les refus par défaut dans le langage de politique SQS d'accès d'Amazon

Si une SQS politique d'Amazon ne s'applique pas directement à une demande, celle-ci donne lieu à un Default-deny. Par exemple, si un utilisateur demande l'autorisation d'utiliser Amazon SQS mais que la seule politique applicable à l'utilisateur peut utiliser DynamoDB, les demandes entraînent un refus par défaut.

Si une condition de la déclaration n'est pas respectée, la demande se conclut par un default-deny. Si toutes les conditions d'une déclaration sont respectées, la demande se conclut par une décision de type Autorisation ou Explicit-deny, en fonction de la valeur de l'élément Effet de la stratégie. Les stratégies ne spécifient pas comment procéder si une condition n'est pas respectée. Le résultat par défaut est donc un default-deny dans ce cas. Supposons par exemple que vous souhaitez refuser les demandes provenant de l'Antarctique. Vous créez une stratégie Policy A1 qui autorise une demande uniquement si elle ne provient pas de l'Antarctique. Le schéma suivant illustre la SQS politique d'Amazon.

Politique A1, qui contient un effet égal à Autoriser et une condition égale à si la demande ne provient pas de l'Antarctique.

Si un utilisateur envoie une demande depuis les États-Unis, la condition est respectée (la demande ne provient pas de l'Antarctique) et la demande se conclut par une décision allow. Par contre, si un utilisateur envoie une demande depuis l'Antarctique, la condition n'est pas respectée et la demande se conclut par défaut par un default-deny. Vous pouvez modifier le résultat et le faire passer en explicit-deny en écrivant une stratégie Policy A2 qui refuse explicitement toute demande provenant de l'Antarctique. Le schéma suivant illustre la politique.

Politique A2, qui contient un effet égal à un refus et une condition égale à si la demande provient de l'Antarctique.

Si un utilisateur envoie une demande depuis l'Antarctique, la condition est remplie et la demande se conclut par un explicit-deny.

Il est important de bien faire la distinction entre un default-deny et un explicit-deny, car une décision allow peut prévaloir sur le premier mais pas sur le second. Par exemple, la stratégie Policy B autorise les demandes si elles arrivent le 1er juin 2010. Le schéma suivant compare l'association de cette stratégie avec une stratégie Policy A1 et une stratégie Policy A2.

side-by-sideComparaison entre le scénario 1 et le scénario 2.

Dans le scénario 1, la stratégie Policy A1 se conclut par un default-deny et la stratégie Policy B par un allow, car la stratégie autorise les demandes qui arrivent le 1er juin 2010. L'autorisation allow de Policy B remplace le refus par défaut (default-deny) de Policy A1 et, par conséquent, la demande est autorisée.

Dans le scénario 2, la stratégie Policy B2 génère un explicit-deny et la stratégie Policy B génère une décision allow. Le refus explicite (explicit-deny) de Policy A2 remplace l'autorisation (allow) de Policy B et, par conséquent, la demande est refusée.