Concetti chiave della politica di SNS accesso di Amazon - Amazon Simple Notification Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concetti chiave della politica di SNS accesso di Amazon

Nelle seguenti sezioni vengono descritti i concetti necessari per l’utilizzo del linguaggio della policy di accesso. Sono presentati secondo un ordinamento logico, con i primi termini che devi conoscere in cima all'elenco.

Autorizzazione

L'autorizzazione è il concetto che permette o rifiuta un tipo di accesso a una particolare risorsa. Le autorizzazioni seguono essenzialmente questo modulo: "A ha/non ha l'autorizzazione di eseguire B in C se si applica D". Ad esempio, Jane (A) è autorizzata a pubblicare (B) su Topica (C) purché utilizzi il HTTP protocollo (D). Ogni volta che Jane pubblica in TopicA, il servizio verifica se ha l'autorizzazione e se la richiesta soddisfa le condizioni stabilite nell'autorizzazione.

Dichiarazione

Una dichiarazione è la descrizione formale di una singola autorizzazione, scritta nel linguaggio della policy di accesso. Scrivi sempre una dichiarazione nell'ambito di un documento container più ampio denominato policy (vedi il prossimo concetto).

Policy

Una policy è un documento (scritto nella sintassi della/e policy di accesso) che funge da container per una o più dichiarazioni. Ad esempio, una policy potrebbe avere due dichiarazioni: una che afferma che Jane può iscriversi utilizzando il protocollo e-mail e un'altra che afferma che Bob non può pubblicare in Topic A. Come mostrato nella figura seguente, uno scenario equivalente potrebbe avere due policy, una che afferma che Jane può iscriversi utilizzando il protocollo e-mail e un altro che afferma che Bob non può pubblicare su Topic A.

Confronta due modi di organizzare le dichiarazioni politiche in AmazonSNS. A sinistra, una singola politica (Policy A) contiene due dichiarazioni. A destra, le stesse due istruzioni sono suddivise tra due politiche, ognuna delle quali contiene un'istruzione. Il diagramma illustra che questi due approcci sono equivalenti in termini di definizione e applicazione delle autorizzazioni.

Nei documenti relativi alle ASCII policy sono consentiti solo caratteri. È possibile aws:SourceOwner utilizzare aws:SourceAccount e aggirare lo scenario in cui è necessario collegare altri AWS servizi ARNs che non contengono caratteri. ASCII vedi la differenza tra aws:SourceAccount rispetto a aws:SourceOwner.

Emittente

L'emittente è la persona che scrive una policy per concedere le autorizzazioni per una risorsa. L'emittente (per definizione) è sempre il proprietario della risorsa. AWS non consente agli utenti AWS del servizio di creare politiche per risorse che non possiedono. Se John è il proprietario della risorsa, AWS autentica l'identità di John quando invia la politica che ha scritto per concedere le autorizzazioni per quella risorsa.

Principale

Il principale è la persona o le persone che ricevono l'autorizzazione nella policy. Il principale è A nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D". In una policy, puoi impostare il principale su "chiunque" (ovvero, puoi specificare un carattere jolly per rappresentare tutte le persone). Potresti farlo, ad esempio, se non vuoi limitare l'accesso in base all'identità effettiva del richiedente, ma in base ad altre caratteristiche identificative come l'indirizzo IP del richiedente.

Azione

L'operazione è l'attività che il principale è autorizzato a eseguire. L'operazione è B nella dichiarazione "A dispone dell'autorizzazione di eseguire B in C se si applica D". In genere, l'azione è solo l'operazione inclusa nella richiesta a AWS. Ad esempio, Jane invia una richiesta ad Amazon SNS con Action=Subscribe. Puoi specificare una o più operazioni in una policy.

Risorsa

La risorsa è l'oggetto al quale il principale richiede l'accesso. La risorsa è C nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D".

Condizioni e chiavi

Le condizioni sono restrizioni o dettagli relativi all'autorizzazione. La condizione è D nella dichiarazione "A ha l'autorizzazione di eseguire B in C se si applica D". La parte della policy che specifica le condizioni può essere la più dettagliata e complessa di tutte le parti. Le condizioni tipiche sono correlate a:

  • Data e ora (ad esempio, la richiesta deve arrivare prima di un giorno specifico)

  • Indirizzo IP (ad esempio, l'indirizzo IP del richiedente deve far parte di un CIDR intervallo particolare)

La chiave è la caratteristica specifica che costituisce la base per la limitazione degli accessi. Ad esempio, la data e l'ora della richiesta.

Usa insieme condizioni e chiavi per esprimere la limitazione. Il modo più semplice per capire come si implementa effettivamente una limitazione è con un esempio: se vuoi limitare l'accesso a prima del 30 maggio 2010, utilizzi la condizione chiamata DateLessThan. Utilizzare la chiave chiamata aws:CurrentTime e impostarla sul valore 2010-05-30T00:00:00Z. AWS definisce le condizioni e le chiavi che è possibile utilizzare. Il AWS servizio stesso (ad esempio Amazon SQS o AmazonSNS) potrebbe anche definire chiavi specifiche del servizio. Per ulteriori informazioni, consulta SNSAPIAutorizzazioni Amazon: riferimento ad azioni e risorse.

Richiedente

Il richiedente è la persona che invia una richiesta a un servizio AWS e richiede l'accesso a una particolare risorsa. Il richiedente invia una richiesta a AWS che dice essenzialmente: "Mi concedi l'autorizzazione per eseguire B in C se si applica D?"

Valutazione

La valutazione è il processo utilizzato dal AWS servizio per determinare se una richiesta in arrivo debba essere rifiutata o consentita in base alle politiche applicabili. Per ulteriori informazioni sulla logica della valutazione, consulta Logica della valutazione.

Effetto

L'effetto è il risultato che una dichiarazione della policy vuoi che restituisca al momento della valutazione. Specifica questo valore quando scrivi le dichiarazioni in una policy e i valori possibili sono diniego e permettere.

Ad esempio, potresti scrivere una policy che ha una dichiarazione che rifiuta tutte le richieste provenienti dall'Antartide (effect=deny, presupponendo che la richiesta utilizzi un indirizzo IP assegnato all'Antartide). In alternativa, potresti scrivere una policy che ha una dichiarazione che consente tutte le richieste che non sono provenienti dall'Antartide (effect=allow, presupponendo che la richiesta non provenga dall'Antartide). Sebbene le due dichiarazioni sembrano facciano la stessa cosa, nella logica del linguaggio della policy di accesso sono diverse. Per ulteriori informazioni, consulta Logica della valutazione.

Sebbene ci siano solo due possibili valori che puoi specificare per l'effetto (allow o deny), ci possono essere tre diversi risultati al momento della valutazione della policy: rifiuto per default, consenso o rifiuto esplicito. Per ulteriori informazioni, vedi i seguenti concetti e Logica della valutazione.

Rifiuto per default

Rifiuto per default è il risultato predefinito di una policy in assenza di un consenso o di un rifiuto esplicito.

Consenso

Un consenso viene restituito da una dichiarazione che ha effect=allow, presupponendo che tutte le condizioni dichiarate siano soddisfatte. Esempio: consenti le richieste se vengono ricevute prima delle 13:00 del 30 aprile 2010. Un consenso sovrascrive tutti i rifiuti per default, ma mai un rifiuto esplicito.

Rifiuto esplicito

Il rifiuto esplicito viene restituito da una dichiarazione che ha effect=deny, presupponendo che tutte le condizioni dichiarate siano soddisfatte. Esempio: rifiuta tutte le richieste se provengono dall'Antartide. Qualsiasi richiesta proveniente dall'Antartide sarà sempre rifiutata, a prescindere da eventuali altre policy.