Amazon Simple Notification Service
开发人员指南 (API Version 2010-03-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

评估逻辑

评价期间的目的是为了决定既定的请求应该被允许或应该被拒绝。评估逻辑遵循多个基本规则:

  • 在默认情况下,除了您,任何人提出使用您资源的请求均会被拒绝。

  • 一个允许可以超控任何其他默认拒绝

  • 一个显式拒绝可以超控任何允许

  • 策略评估的顺序不重要

以下流程图和讨论更加详细地描述了如何做出决定。

 评估流程图
1

决定开始是一个默认拒绝。

2

然后执行代码将评估适用于请求的所有策略(根据资源、委托人、操作和条件)。

执行代码评估策略的顺序不重要。

3

在所有这些策略中,执行代码将寻找一个能适用于请求的显式拒绝指令。

即使仅找到一处,执行代码也会发回“拒绝”的决定,并结束处理流程(此为“显式拒绝”;有关更多信息,请参见 显式拒绝)。

4

如果没有找到显式拒绝,那么执行代码将寻找适用于请求的任何“允许”指令。

如果它还是找到了一个,那么执行代码将返回一个“允许”决定,且整个过程完成(服务将继续处理该请求)。

5

如果没有找到允许,那么最终的决定将是“拒绝”(因为没有显式拒绝或允许,所以这将被视为是一个默认拒绝(有关更多信息,请参见默认拒绝)。

显式拒绝和默认拒绝的相互作用

如果策略不直接适用于请求,那么策略将产生一个默认拒绝。例如,如果某用户请求使用 Amazon SNS,但是主题中的策略根本不适用于用户的 AWS 账户,那么策略将产生一个默认拒绝。

如果一个语句中的某个条件未被满足,那么策略将产生一个默认拒绝。如果声明中的所有条件都满足,那么根据策略中的效果元素的值,策略或许会产生允许,或许会产生显式拒绝。如果一个条件未被满足,策略没有指定如何处理,那么在那种情况下默认值将产生一个默认拒绝。

例如,假设您想要阻止来自南极洲地区的请求进入。只要请求不是来自于南极洲地区,您编写的策略(称作策略 A1)将允许接受请求。下列示意图说明了该策略。

 如果请求不是来自南极洲区域,那么策略将允许请求

如果某人从美国发出请求,那么条件已经满足(该请求不是来自南极洲)。因此,该请求将被允许。但是,如果某人从南极洲地区发出请求,那么条件未满足,因此策略结果将是默认拒绝。

您可通过按照下列示意图重新编写策略(称作策略 A2)将结果转变为一个显式拒绝。此时,如果请求是来自南极洲地区,那么策略将明确拒绝该请求。

如果请求来自南极洲地区,策略拒绝请求

如果某人从南极洲发出请求,那么条件已经满足,策略的结果将是一个显式拒绝。

默认拒绝和显式拒绝的区别很重要,因为一个默认拒绝能被一个允许超控,但是显式拒绝就不能。例如,例如说如果请求是在 2010 年 6 月 1 日到达,那么将有另一个策略允许这些请求。那么,与限制从南极洲访问的策略相结合,该策略将如何对总体结果产生影响?当将按日期要求设置的策略与上述策略 A1 和 A2 相结合时,我们将对比综合结果。方案 1 是将策略 A1 与策略 B 相结合,方案 2 是将策略 A2 与策略 B 相结合。以下图表和讨论显示了如果于 2010 年 6 月 1 日从南极洲区域发出请求输入时的结果。

默认拒绝的超控

在方案 1 中,策略 A1 将返回一个默认拒绝,如本节之前所描述的那样。Policy B 返回“允许”结果,因为该策略(依照定义)允许在 2010 年 6 月 1 日发送请求。Policy B 返回的“允许”结果将置换 Policy A1 的“默认拒绝”结果,因此,请求获得允许。

在方案 2 中,策略 B2 返回了一个显式拒绝,如本节之前所描述的那样。此外,策略 B 返回了一个允许。从策略 A2 发出的显式拒绝将超控从策略 B 发出的允许,因此该请求会被拒绝。