Conceitos-chave da política de SNS acesso da Amazon - Amazon Simple Notification Service
PermissãoStatementPolíticaEmissorEntidade principalAçãoRecursoCondições e chavesSolicitanteAvaliaçãoEfeitoNegação padrãoPermitirNegação explícita

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos-chave da política de SNS acesso da Amazon

As seções a seguir descrevem os conceitos que você precisa entender para usar a linguagem de políticas de acesso. Eles são apresentados em uma ordem lógica, com os primeiros termos que você precisa saber na parte superior da lista.

Permissão

Permissão refere-se ao conceito de conceder ou negar algum tipo de acesso a um recurso específico. Basicamente, as permissões seguem este formato: “A tem/não tem permissão para realizar B para C, quando D se aplicar”. Por exemplo, Jane (A) tem permissão para publicar (B) na Topica (C), desde que ela use o HTTP protocolo (D). Sempre que Jane fizer uma publicação em TopicA, o serviço verificará se ela tem permissão e se a solicitação está de acordo com as condições definidas na permissão.

Statement

Declaração é a descrição formal de uma única permissão, criada na linguagem de políticas de acesso. Você sempre cria uma declaração como parte de um documento de contêiner mais abrangente conhecido como política (consulte o próximo conceito).

Política

Política é um documento (escrito na linguagem de políticas de acesso) que funciona como um contêiner para uma ou mais declarações. Por exemplo, uma política poderia ter duas declarações: uma que afirme que Jane pode se inscrever usando o protocolo de e-mail, e outra afirmando que Bob não pode fazer uma publicação no tópico A. Como mostrado na figura a seguir, um cenário equivalente seria ter duas políticas, uma que afirme que Jane pode se inscrever usando o protocolo de e-mail e outra afirmando que Bob não pode publicar no tópico A.

Compara duas formas de organizar declarações de políticas na AmazonSNS. À esquerda, uma única política (Política A) contém duas declarações. À direita, as mesmas duas declarações são divididas entre duas políticas, com cada política contendo uma declaração. O diagrama ilustra que essas duas abordagens são equivalentes em termos de como as permissões são definidas e aplicadas.

Somente ASCII caracteres são permitidos em documentos de política. Você pode aws:SourceOwner utilizar aws:SourceAccount e contornar o cenário em que precisa conectar outros AWS serviços ARNs que não contenham caracteres. ASCII Veja a diferença entre aws:SourceAccount versus aws:SourceOwner.

Emissor

Emissor é a pessoa que cria uma política para conceder permissões a um recurso. O emissor (por definição) é sempre o proprietário do recurso. AWS não permite que os usuários do AWS serviço criem políticas para recursos que não possuem. Se John for o proprietário do recurso, AWS autentica a identidade de John ao enviar a política que ele escreveu para conceder permissões para esse recurso.

Entidade principal

Entidade principal é a pessoa ou as pessoas que recebem a permissão na política. A entidade principal é A na declaração “A tem permissão para realizar B para C, quando D se aplicar”. Em uma política, você pode definir a entidade principal como “ninguém” (ou seja, pode especificar um curinga para representar todas as pessoas). Você poderá fazer isso, por exemplo, se não quiser restringir o acesso com base na identidade real do solicitante, mas em outras características de identificação, como o endereço IP do solicitante.

Ação

Ação é a atividade que a entidade principal tem permissão para executar. A ação é B na declaração “A tem permissão para realizar B para C, quando D se aplicar”. Normalmente, a ação é apenas a operação na solicitação para AWS. Por exemplo, Jane envia uma solicitação para a Amazon SNS com Action=Subscribe. Você pode especificar uma ou várias ações em uma política.

Recurso

Recurso é o objeto ao qual a entidade principal está solicitando acesso. O recurso é C na declaração “A tem permissão para realizar B para C, quando D se aplicar”.

Condições e chaves

Condições são todas as restrições ou detalhes sobre a permissão. A condição é D na declaração “A tem permissão para realizar B para C, quando D se aplicar”. A parte da política que especifica as condições pode ser a mais detalhada e complexa de todas as partes. As condições comuns são relacionadas a:

  • Data e hora (por exemplo, a solicitação precisa chegar antes de um dia específico)

  • Endereço IP (por exemplo, o endereço IP do solicitante deve fazer parte de um determinado CIDR intervalo)

Chave é a característica específica que fundamenta a restrição de acesso. Por exemplo, a data e a hora da solicitação.

Você usa condições e chaves em conjunto para expressar a restrição. A maneira mais fácil de entender como você realmente implementa uma restrição é com um exemplo: se você deseja restringir o acesso para antes de 30 de maio de 2010, deve usar a condição chamada DateLessThan. Você usa a chave chamada aws:CurrentTime e a define com o valor 2010-05-30T00:00:00Z. A AWS define as condições e chaves que você pode usar. O AWS serviço em si (por exemplo, Amazon SQS ou AmazonSNS) também pode definir chaves específicas do serviço. Para obter mais informações, consulte SNSAPIPermissões da Amazon: referência de ações e recursos.

Solicitante

Solicitante é a pessoa que envia uma solicitação a um serviço da AWS e pede acesso a um recurso específico. O solicitante envia uma solicitação à AWS que essencialmente pergunta: “Posso fazer B para C quando D se aplicar?”.

Avaliação

A avaliação é o processo que o AWS serviço usa para determinar se uma solicitação recebida deve ser negada ou permitida com base nas políticas aplicáveis. Para obter informações sobre a lógica de avaliação, consulte Lógica de avaliação.

Efeito

Efeito é o resultado que você deseja que uma declaração de política retorne no tempo da avaliação. Você especifica esse valor ao criar as declarações em uma política, e os valores possíveis são negar e permitir.

Por exemplo, você pode criar uma política que tenha uma declaração que nega todas as solicitações originárias da Antártica (efeito=negar considerando que a solicitação usa um endereço IP alocado para a Antártica). Como alternativa, você pode escrever uma política que tenha uma declaração que permita todas as solicitações que não são originárias da Antártica (effect=allow, considerando que a solicitação não é originária da Antártica). Embora as duas declarações pareçam realizar a mesma ação, na lógica da linguagem de políticas de acesso, elas são diferentes. Para obter mais informações, consulte Lógica de avaliação.

Embora haja apenas dois valores possíveis que você pode especificar para o efeito (permitir ou negar), pode haver três resultados diferentes no tempo de avaliação da política: negação padrão, permitir ou negação explícita. Para obter mais informações, consulte os seguintes conceitos e Lógica de avaliação.

Negação padrão

Negação padrão é o resultado padrão de uma política na ausência de permitir ou negação explícita.

Permitir

Permitir resulta de uma declaração que tem efeito = permitir, supondo que todas as condições indicadas foram atendidas. Exemplo: permitir solicitações se elas forem recebidas antes de 13h00 em 30 de abril de 2010. Um permitir substitui todas as negações padrão, mas nunca uma negação explícita.

Negação explícita

A negação explícita resulta de uma declaração que tem efeito = negar, supondo que todas as condições indicadas foram atendidas. Exemplo: negar todas as solicitações originárias da Antártica. Todas as solicitações originárias da Antártica sempre serão negadas independentemente do que qualquer outra política possa permitir.