Amazon SQS Access Policy Language の評価ロジック - Amazon Simple Queue Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SQS Access Policy Language の評価ロジック

評価時に、Amazon はリソース所有者以外の人物からのリクエストを許可または拒否するかどうかSQSを決定します。評価論理は、以下の複数の基本ルールに従っています。

  • デフォルトでは、リソースの使用許可を求めるリクエストについては、リクエスタが自分自身である場合を除いて、拒否を適用する。

  • 許可 はすべてのDefault-denyをオーバーライドする。

  • Explicit-deny はすべてのallowをオーバーライドする。

  • ポリシー評価の順序は重要ではない。

次の図は、Amazon がアクセス許可に関する決定SQSを評価する方法の詳細を示しています。

Amazon がアクセス許可に関する決定SQSを評価する方法を説明するフローチャート。

In the previous diagram, number one. 決定はdefault-denyから始まります。

In the previous diagram, number two. エンフォースメントコードは、リクエストに適用可能なポリシーすべてを、リソース、プリンシパル、アクション、および条件に基づいて評価します。エンフォースメントコードによるポリシー評価の順序は重要ではありません。

In the previous diagram, number three. エンフォースメントコードは、リクエストに適用できる explicit-deny インストラクションを探します。仮に1つでも見つかった場合、エンフォースメントコードは拒否の決定を返し、プロセスは終了します。

In the previous diagram, number four. explicit-deny が見つからなかった場合、リクエストに適応できるallowインストラクションがエンフォースメントコードによって検索されます。仮に1つでも見つかった場合、エンフォースメントコードは許可の決定を返し、プロセスは完了します (サービスはリクエストのプロセスを継続します)。

In the previous diagram, number five. allowインストラクションが見つからなかった場合、最終決定は denyとなります(explicit-denyまたはallowが見つからない場合、default-denyとして見なされるためです)。