Konsep kebijakan SNS akses Amazon utama - Amazon Simple Notification Service
IzinPernyataanKebijakanPenerbitUtamaTindakanSumber DayaSyarat dan kunciPemintaEvaluasiEfekBlokir secara defaultIzinkanPenolakan eksplisit

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep kebijakan SNS akses Amazon utama

Bagian berikut menjelaskan konsep yang perlu Anda pahami untuk menggunakan bahasa kebijakan akses. Konsep-konsep disajikan dalam urutan logis, dengan istilah pertama yang perlu Anda ketahui di bagian atas daftar.

Izin

Izinadalah konsep mengizinkan atau melarang beberapa jenis akses ke sumber daya tertentu. Izin pada dasarnya mengikuti bentuk ini: "A diizinkan/tidak diizinkan untuk melakukan B ke C jika D diterapkan." Misalnya, Jane (A) memiliki izin untuk menerbitkan (B) ke TopIca (C) selama dia menggunakan HTTP protokol (D). Setiap kali Jane memublikasikan TopicA, layanan memeriksa untuk melihat apakah dia memiliki izin dan apakah permintaan memenuhi persyaratan yang ditetapkan dalam izin.

Pernyataan

Pernyataan adalah deskripsi formal dari satu izin, yang ditulis dalam bahasa kebijakan akses. Anda selalu menulis pernyataan sebagai bagian dari dokumen kontainer yang lebih luas dikenal sebagai kebijakan (lihat konsep berikutnya).

Kebijakan

Kebijakan adalah dokumen (yang ditulis dalam bahasa kebijakan akses) yang bertindak sebagai kontainer untuk satu atau lebih pernyataan. Misalnya, kebijakan dapat memiliki dua pernyataan di dalamnya: satu yang menyatakan bahwa Jane dapat berlangganan menggunakan protokol email, dan satu lagi yang menyatakan bahwa Bob tidak dapat mempublikasikan ke Topik A. Seperti yang ditunjukkan pada gambar berikut, skenario yang setara adalah memiliki dua kebijakan, satu yang menyatakan bahwa Jane dapat berlangganan menggunakan protokol email, dan satu lagi yang menyatakan bahwa Bob tidak dapat mempublikasikan ke Topik A.

Membandingkan dua cara mengatur pernyataan kebijakan di AmazonSNS. Di sebelah kiri, satu kebijakan (Kebijakan A) berisi dua pernyataan. Di sebelah kanan, dua pernyataan yang sama dibagi antara dua kebijakan, dengan masing-masing kebijakan berisi satu pernyataan. Diagram menggambarkan bahwa kedua pendekatan ini setara dalam hal bagaimana izin didefinisikan dan ditegakkan.

Hanya ASCII karakter yang diizinkan dalam dokumen kebijakan. Anda dapat memanfaatkan aws:SourceAccount dan aws:SourceOwner mengatasi skenario di mana Anda perlu plug-in AWS layanan lain ARNs yang berisi non-karakter. ASCII Lihat perbedaan antaraaws:SourceAccount versus aws:SourceOwner.

Penerbit

Penerbit adalah orang yang menulis kebijakan untuk memberikan izin untuk sumber daya. Penerbit (menurut definisi) selalu menjadi pemilik sumber daya. AWS tidak mengizinkan pengguna AWS layanan untuk membuat kebijakan untuk sumber daya yang tidak mereka miliki. Jika John adalah pemilik sumber daya, AWS mengautentikasi identitas John ketika dia mengirimkan kebijakan yang ditulisnya untuk memberikan izin untuk sumber daya tersebut.

Utama

Penanggung jawab adalah orang atau orang-orang yang menerima izin dalam kebijakan. Penanggung jawab adalah A dalam pernyataan "A memiliki izin untuk melakukan B ke C jika D diterapkan." Dalam kebijakan, Anda dapat mengatur penanggung jawab ke "siapa pun" (yaitu, Anda dapat menentukan wildcard untuk mewakili semua orang). Anda mungkin melakukan ini, misalnya, jika Anda tidak ingin membatasi akses berdasarkan identitas sebenarnya dari peminta, tetapi sebaliknya berdasarkan pada beberapa karakteristik lain yang mengidentifikasi seperti alamat IP peminta.

Tindakan

Tindakan adalah aktivitas yang izin untuk melakukannya dimiliki penanggung jawab. Tindakan adalah B dalam pernyataan "A memiliki izin untuk melakukan B ke C jika D diterapkan." Biasanya, tindakan hanya operasi dalam permintaan untuk AWS. Misalnya, Jane mengirim permintaan ke Amazon SNS dengan Action=Subscribe. Anda dapat menentukan satu atau beberapa tindakan dalam kebijakan.

Sumber Daya

Sumber daya adalah obyek yang diminta aksesnya oleh penanggung jawab. Sumber daya adalah C dalam pernyataan "A memiliki izin untuk melakukan B ke C jika D diterapkan."

Syarat dan kunci

Syarat adalah pembatasan atau detail tentang izin. Syarat adalah D dalam pernyataan "A memiliki izin untuk melakukan B ke C jika D diterapkan." Bagian dari kebijakan yang menentukan syarat dapat menjadi yang paling rinci dan kompleks dari semua bagian. Syarat umum terkait dengan:

  • Tanggal dan waktu (misalnya, permintaan harus tiba sebelum hari tertentu)

  • Alamat IP (misalnya, alamat IP pemohon harus menjadi bagian dari CIDR rentang tertentu)

Kunci adalah karakteristik spesifik yang menjadi dasar pembatasan akses. Misalnya, tanggal dan waktu permintaan.

Anda menggunakan baik syarat maupun kunci bersama-sama untuk mengekspresikan pembatasan. Cara termudah untuk memahami bagaimana Anda benar-benar menerapkan pembatasan adalah dengan contoh: Jika Anda ingin membatasi akses sebelum 30 Mei 2010, Anda menggunakan syarat yang disebut DateLessThan. Anda menggunakan tombol yang disebut aws:CurrentTime dan mengaturnya ke nilai 2010-05-30T00:00:00Z. AWS mendefinisikan syarat dan kunci yang dapat Anda gunakan. AWS Layanan itu sendiri (misalnya, Amazon SQS atau AmazonSNS) mungkin juga menentukan kunci khusus layanan. Untuk informasi selengkapnya, lihat SNSAPIIzin Amazon: Referensi tindakan dan sumber daya.

Peminta

Peminta adalah orang yang mengirimkan permintaan ke layanan AWS dan meminta akses ke sumber daya tertentu. Peminta mengirimkan permintaan ke AWS yang pada dasarnya mengatakan: "Apakah Anda mengizinkan saya untuk melakukan B ke C jika D diterapkan?"

Evaluasi

Evaluasi adalah proses yang digunakan AWS layanan untuk menentukan apakah permintaan yang masuk harus ditolak atau diizinkan berdasarkan kebijakan yang berlaku. Untuk informasi tentang logika evaluasi, lihat Logika evaluasi.

Efek

Efek adalah hasil yang Anda inginkan untuk dikembalikan pernyataan kebijakan xpada waktu evaluasi. Anda menentukan nilai ini ketika Anda menulis pernyataan dalam kebijakan, dan nilai-nilai yang mungkin adalah menolak dan mengizinkan.

Misalnya, Anda dapat menulis kebijakan yang memiliki pernyataan yang menyangkal semua permintaan yang berasal dari Antartika (effect=deny mengingat permintaan tersebut menggunakan alamat IP yang dialokasikan ke Antartika). Sebagai alternatif, Anda dapat menulis kebijakan yang memiliki pernyataan yang memungkinkan semua permintaan yang tidak berasal dari Antartika (effect=allow mengingat permintaan tersebut tidak berasal dari Antartika). Meskipun dua pernyataan tersebut tampak seperti melakukan hal yang sama, dalam logika bahasa kebijakan akses, keduanya berbeda. Untuk informasi selengkapnya, lihat Logika evaluasi.

Meskipun hanya ada dua nilai yang mungkin yang dapat Anda tentukan untuk efek (mengizinkan atau menolak), dapat ada tiga hasil yang berbeda pada waktu evaluasi kebijakan: blokir secara default, perizinan, atau penolakan eksplisit. Untuk informasi selengkapnya, lihat konsep berikut dan Logika evaluasi.

Blokir secara default

Blokir secara default adalah hasil default dari kebijakan jika tidak ada izin atau penolakan eksplisit.

Izinkan

Perizinan dihasilkan dari pernyataan yang memiliki efek=mengizinkan, dengan asumsi syarat apa pun yang dinyatakan terpenuhi. Contoh: Mengizinkan permintaan jika diterima sebelum pukul 1:00 siang pada tanggal 30 April 2010. Perizinan mengabaikan semua blokir secara default, tetapi tidak mengabaikan penolakan eksplisit.

Penolakan eksplisit

Penolakan eksplisit dihasilkan dari pernyataan yang memiliki efek=menolak, dengan asumsi syarat apa pun yang dinyatakan terpenuhi. Contoh: Tolak semua permintaan jika berasal dari Antartika. Setiap permintaan yang berasal dari Antartika akan selalu ditolak tidak peduli apa yang mungkin diizinkan kebijakan lain apa pun.