Logica di valutazione della sintassi delle policy di accesso Amazon SQS - Amazon Simple Queue Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Logica di valutazione della sintassi delle policy di accesso Amazon SQS

Al momento della valutazione, Amazon SQS determina se le richieste da parte di utenti diversi dal proprietario della risorsa devono essere concesse o negate. La logica della valutazione segue diverse regole di base:

  • Per impostazione predefinita, tutte le richieste per utilizzare la tua risorsa che provengono da chiunque eccetto te, vengono rifiutate.

  • Un Abilita sostituisce qualsiasi Default-deny.

  • Un Explicit-deny sovrascrive qualsiasi allow.

  • L'ordine in cui vengono valutate le policy non è importante.

Il diagramma seguente descrive in dettaglio come Amazon SQS valuta le decisioni circa le autorizzazioni di accesso.

Diagramma di flusso che descrive in che modo Amazon SQS valuta le decisioni sulle autorizzazioni di accesso.

In the previous diagram, number one. La decisione inizia con un default-deny.

In the previous diagram, number two. Il codice di applicazione valuta tutte le policy applicabili alla richiesta (in base alla risorsa, all'entità principale, all'operazione e alle condizioni). L'ordine in cui il codice di attuazione valuta le policy non è importante.

In the previous diagram, number three. Il codice di attuazione cerca una dichiarazione explicit-deny che può essere applicata alla richiesta. Se ne trova uno, il codice di attuazione restituisce una decisione di rifiuto e il processo termina.

In the previous diagram, number four. Se non viene trovato un explicit-deny, il codice di applicazione cerca un'istruzione allow da applicare alla richiesta. Se ne trova anche uno, il codice di attuazione restituisce una decisione di consenso e il processo termina (il servizio continua ad elaborare la richiesta).

In the previous diagram, number five. Se non viene trovato alcun allow, la decisione finale è il rifiuto (dal momento che non è stato trovato un explicit-deny o un allow, questo viene considerato un default-deny).