Relazioni tra negazioni esplicite e predefinite nell'Amazon SQS Access Policy Language - Amazon Simple Queue Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Relazioni tra negazioni esplicite e predefinite nell'Amazon SQS Access Policy Language

Se una SQS politica di Amazon non si applica direttamente a una richiesta, la richiesta risulterà in un Default-deny. Ad esempio, se un utente richiede l'autorizzazione per utilizzare Amazon SQS ma l'unica politica applicabile all'utente può utilizzare DynamoDB, le richieste generano un rifiuto predefinito.

Se una condizione in una dichiarazione non viene soddisfatta, la richiesta comporta un default-deny. Se tutte le condizioni nella dichiarazione sono soddisfatte, la richiesta restituisce un Abilita o un Explicit-deny a seconda del valore dell'elemento Effetto della policy. Le policy non specificano cosa fare se una condizione non viene soddisfatta e quindi il risultato predefinito in quel caso è un default-deny. Ad esempio, supponiamo che tu voglia impedire le richieste provenienti dall'Antartide. Scrivi una Policy A1 che consente una richiesta solo se non proviene dall'Antartide. Il diagramma seguente illustra la politica di AmazonSQS.

Policy A1, che contiene Effect uguale a Allow e Condition uguale a se la richiesta non proviene dall'Antartide.

Se un utente invia una richiesta dagli Stati Uniti, la condizione è soddisfatta (la richiesta non proviene dall'Antartide) e la richiesta comporta un allow. Tuttavia, se un utente invia una richiesta dall'Antartide, la condizione non viene soddisfatta e la richiesta comporta, per impostazione predefinita, un default-deny. Puoi modificare il risultato a un explicit-deny scrivendo una Policy A2 che nega esplicitamente una richiesta se proviene da Antartide. Il diagramma seguente illustra la policy.

Policy A2, che contiene Effect uguale a Deny e Condition uguale a se la richiesta proviene dall'Antartide.

Se un utente invia una richiesta dall'Antartide, la condizione viene soddisfatta e la richiesta comporta un explicit-deny.

La differenza tra un default-deny e un explicit-deny è importante perché un allow può sovrascrivere il primo ma non l'ultimo. Ad esempio, Policy B consente le richieste se arrivano il 1° giugno 2010. Il seguente diagramma confronta la combinazione di questa policy con Policy A1 e Policy A2.

Un side-by-side confronto tra lo scenario 1 e lo scenario 2.

Nello Scenario 1, Policy A1 comporta un default-deny e Policy B comporta un allow perché la policy consente le richieste pervenute il 1° giugno 2010. Il allow dalla policy B sovrascrive il default-deny dalla policy A1 e pertanto la richiesta è consentita.

Nello Scenario 2, Policy B2 comporta un explicit-deny e Policy B comporta un allow. L'explicit-deny dalla policy A2 sovrascrive il allow dalla policy B e pertanto la richiesta viene rifiutata.