Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perbedaan antara penolakan tegas dan implisit.
Permintaan menghasilkan penolakan eksplisit jika kebijakan yang berlaku mencakup pernyataan Deny. Jika kebijakan yang berlaku untuk permintaan mencakup pernyataan Allow dan Deny, pernyataan Deny mengalahkan pernyataan Allow. Permintaan ditolak secara tegas.
Penolakan implisit terjadi saat tidak ada pernyataan Deny yang berlaku, tetapi juga tidak ada pernyataan Allow. Karena IAM prinsipal ditolak akses secara default, mereka harus secara eksplisit diizinkan untuk melakukan tindakan. Jika tidak, akse pengguna akan ditolak secara implisit.
Saat Anda merancang strategi otorisasi, Anda harus membuat kebijakan dengan pernyataan Allow agar prinsipal Anda berhasil membuat permintaan. Namun, Anda dapat memilih kombinasi penyangkalan eksplisit dan implisit.
Misalnya, Anda dapat membuat kebijakan berikut yang mencakup tindakan yang diizinkan, tindakan yang ditolak secara implisit, dan tindakan yang ditolak secara eksplisit. AllowGetListPernyataan ini memungkinkan akses hanya-baca ke IAM tindakan yang dimulai dengan awalan Get dan. List Semua tindakan lain diIAM, seperti iam:CreatePolicy secara implisit ditolak. DenyReportsPernyataan tersebut secara eksplisit menolak akses ke IAM laporan dengan menolak akses ke tindakan yang menyertakan Report akhiran, seperti. iam:GetOrganizationsAccessReport Jika seseorang menambahkan kebijakan lain ke prinsipal ini untuk memberi mereka akses ke IAM laporan, sepertiiam:GenerateCredentialReport, permintaan terkait laporan masih ditolak karena penolakan eksplisit ini.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetList", "Effect": "Allow", "Action": [ "iam:Get*", "iam:List*" ], "Resource": "*" }, { "Sid": "DenyReports", "Effect": "Deny", "Action": "iam:*Report", "Resource": "*" } ] }
