Concepts clés de la politique SNS d'accès d'Amazon - Amazon Simple Notification Service
AutorisationInstructionPolitiqueEmetteurPrincipalActionRessourceConditions et clésDemandeurEvaluationEffetRefus par défautAutorisationRefus explicite

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concepts clés de la politique SNS d'accès d'Amazon

Les sections suivantes décrivent les concepts que vous devez connaître pour utiliser le langage de la politique d'accès. Ils vous sont présentés dans un ordre logique, avec les premiers termes que vous devez savoir en haut de la liste.

Autorisation

Une autorisation est le concept consistant à autoriser ou à refuser un type d'accès à une ressource spécifique. Les autorisations suivent fondamentalement cette forme : « A est/n'est pas autorisé à faire B pour C lorsque D s'applique ». Par exemple, Jane (A) est autorisée à publier (B) sur TopIca (C) tant qu'elle utilise le HTTP protocole (D). Chaque fois que Jane effectue une publication dans TopicA, le service vérifie si elle possède l'autorisation appropriée et si la demande est conforme aux conditions définies dans l'autorisation.

Instruction

Une instruction est la description formelle d'une autorisation unique, écrite dans le langage de la politique d'accès. Vous écrivez toujours une instruction dans le cadre d'un document conteneur plus vaste connu sous le nom de politique (voir le concept suivant).

Politique

Une politique est un document (écrit dans le langage de la politique d'accès) qui joue le rôle de conteneur pour une ou plusieurs instructions. Par exemple, une politique peut comporter deux instructions : une indiquant que Jane peut s'abonner à l'aide du protocole de messagerie et une autre indiquant que Bob ne peut pas publier dans la rubrique A. Comme illustré dans la figure suivante, un scénario équivalent impliquerait deux politiques : une indiquant que Jane peut s'abonner à l'aide du protocole de messagerie, et l'autre indiquant que Bob ne peut pas publier dans la rubrique A.

Compare deux manières d'organiser les déclarations de politique sur AmazonSNS. Sur la gauche, une seule politique (stratégie A) contient deux instructions. Sur la droite, les deux mêmes instructions sont réparties entre deux politiques, chaque stratégie contenant une déclaration. Le diagramme montre que ces deux approches sont équivalentes en termes de définition et d'application des autorisations.

Seuls les ASCII caractères sont autorisés dans les documents de politique. Vous pouvez utiliser aws:SourceAccount et aws:SourceOwner contourner le scénario dans lequel vous devez connecter d'autres AWS services ARNs qui ne contiennent pas de ASCII caractères. Reportez-vous à la différence entre aws:SourceAccount par rapport à aws:SourceOwner.

Emetteur

L'émetteur est la personne qui écrit une politique pour accorder des autorisations pour une ressource. L'émetteur (par définition) est toujours le propriétaire de la ressource. AWS n'autorise pas les utilisateurs AWS du service à créer des politiques pour les ressources dont ils ne sont pas propriétaires. Si John est le propriétaire de la ressource, AWS authentifie l'identité de John lorsqu'il soumet la politique qu'il a écrite pour accorder des autorisations pour cette ressource.

Principal

Le principal est la ou les personnes qui reçoivent l'autorisation dans la politique. Le principal correspond à A dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». Vous pouvez configurer une politique pour que le principal s'applique à tout le monde. En d'autres termes, vous pouvez spécifier un caractère générique pour représenter tous les utilisateurs. Cette approche est notamment utile si vous ne voulez pas limiter l'accès en fonction de l'identité réelle du demandeur, mais plutôt en fonction de certaines autres caractéristiques d'identification telles que son adresse IP.

Action

L'action est l'activité que le principal est autorisé à effectuer. L'action correspond à B dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». En règle générale, l'action est simplement l'opération figurant dans la demande à AWS. Par exemple, Jane envoie une demande à Amazon SNS avec Action=Subscribe. Vous pouvez spécifier une ou plusieurs actions dans une politique.

Ressource

La ressource est l'objet pour lequel le principal demande l'accès. La ressource correspond à C dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ».

Conditions et clés

Les conditions sont des restrictions ou des détails relatifs à l'autorisation. La condition correspond à D dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». La partie de la politique qui spécifie les conditions est parfois la plus détaillée et la plus complexe. Les conditions typiques sont liées aux éléments suivants :

  • Date et heure (par exemple, la demande doit arriver avant une date spécifique)

  • Adresse IP (par exemple, l'adresse IP du demandeur doit faire partie d'une CIDR plage particulière)

Une clé est la caractéristique spécifique qui est la base d'une restriction d'accès. Par exemple, la date et l'heure de la demande.

Vous utilisez à la fois les conditions et les clés afin d'exprimer la restriction. La méthode la plus simple pour comprendre comment mettre en œuvre une restriction est un exemple concret : si vous souhaitez limiter l'accès à avant le 30 mai 2010, utilisez la condition appelée DateLessThan. Vous utilisez la clé appelée aws:CurrentTime et vous la définissez à la valeur 2010-05-30T00:00:00Z . AWS définit les conditions et les clés que vous pouvez utiliser. Le AWS service lui-même (par exemple, Amazon SQS ou AmazonSNS) peut également définir des clés spécifiques au service. Pour de plus amples informations, veuillez consulter SNSAPIAutorisations Amazon : référence sur les actions et les ressources.

Demandeur

Le demandeur est la personne qui envoie une demande à un service AWS afin d'accéder à une ressource donnée. Le demandeur envoie une demande à AWS qui équivaut fondamentalement à dire : « M'autorisez-vous à faire B pour C lorsque D s'applique ? »

Evaluation

L'évaluation est le processus utilisé par le AWS service pour déterminer si une demande entrante doit être refusée ou autorisée conformément aux politiques applicables. Pour plus d'informations sur la logique d'évaluation, consultez la section Logique d'évaluation.

Effet

L'effet est le résultat que vous voulez qu'une instruction de politique renvoie au moment de l'évaluation. Vous spécifiez cette valeur lorsque vous écrivez les instructions dans une politique. Les valeurs possibles sont deny (refuser) et allow (autoriser).

Par exemple, vous pouvez écrire une stratégie dont l'instruction refuse toutes les demandes qui viennent de l'Antarctique (effet = refus étant donné que la demande utilise une adresse IP attribuée à l'Antarctique). Vous pouvez également écrire une politique dont l'instruction autorise toutes les demandes qui ne proviennent pas de l'Antarctique (effet=autorisation, étant donné que la demande ne vient pas de l'Antarctique). Même si les deux instructions semblent avoir le même résultat, selon la logique du langage de la politique d'accès, elles sont différentes. Pour de plus amples informations, veuillez consulter Logique d'évaluation.

Bien que vous ne puissiez définir que deux valeurs distinctes pour l'effet (autorisation ou refus), trois résultats différents sont possibles lors de l'évaluation de politique : refus par défaut, autorisation ou refus explicite. Pour plus d'informations, reportez-vous aux concepts ci-dessous, ainsi qu'à la section Logique d'évaluation.

Refus par défaut

Un refus par défaut est le résultat par défaut d'une politique en l'absence d'autorisation ou de refus explicite.

Autorisation

Une autorisation est le résultat d'une instruction avec l'effet=allow, sous réserve que toutes les conditions soient remplies. Exemple : autoriser les demandes si elles sont reçues avant 13 h le 30 avril 2010. Une autorisation prévaut sur tous les refus par défaut, mais jamais sur un refus explicite.

Refus explicite

Un refus explicite est le résultat d'une instruction qui avec l'effet=refuser, sous réserve que toutes les conditions soient remplies. Exemple : refuser toutes les demandes si elles viennent de l'Antarctique. Toute demande qui vient de l'Antarctique sera toujours refusée, indépendamment des autorisations octroyées par les autres politiques.