Amazon SQS 访问策略语言评估逻辑 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SQS 访问策略语言评估逻辑

在评估时,Amazon SQS 会确定是否应允许或拒绝来自资源所有者以外的其他人的请求。评估逻辑遵循多个基本规则:

  • 在默认情况下,您拒绝任何人发送的所有使用资源的请求.

  • Allow 将覆盖任意默认拒绝

  • 显式拒绝 将覆盖任意允许

  • 策略评估的顺序并不重要.

下图详细描述了 Amazon SQS 如何评估有关访问权限的决策。

该决策开始是一个默认拒绝

执行代码评估适用于请求的所有策略 (根据资源、委托人、操作和条件)。执行代码评估策略的顺序并不重要。

执行代码寻找应用于请求的显式拒绝指令。即使执行代码只找到了一个,也会返回拒绝决策,整个过程完成。

如果没有找到显式拒绝指令,那么执行代码将寻找应用于请求的任何允许指令。即使执行代码只找到了一个,也会返回允许决策,整个过程完成 (服务将继续处理该请求)。

如果未找到任何允许指令,那么最终决策将是拒绝 (因为没有显式拒绝允许,所以这将被视为一个默认拒绝)。