Amazon SQS Access Policy Language评估逻辑
在评估期间,Amazon SQS 确定应允许还是拒绝资源所有者以外的某人发送的请求。评估逻辑遵循多个基本规则:
下图详述了 Amazon SQS 如何评估有关访问权限的决策。
该决策开始是一个默认拒绝。
执行代码评估适用于请求的所有策略 (根据资源、委托人、操作和条件)。执行代码评估策略的顺序并不重要。
执行代码寻找应用于请求的显式拒绝指令。即使执行代码只找到了一个,也会返回拒绝决策,整个过程完成。
如果没有找到显式拒绝指令,那么执行代码将寻找应用于请求的任何允许指令。即使执行代码只找到了一个,也会返回允许决策,整个过程完成 (服务将继续处理该请求)。
如果未找到任何允许指令,那么最终决策将是拒绝 (因为没有显式拒绝或允许,所以这将被视为一个默认拒绝)。