Amazon SQS 访问策略语言评估逻辑 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SQS 访问策略语言评估逻辑

在评估期间,Amazon SQS 确定应允许还是拒绝资源所有者以外的某人发送的请求。评估逻辑遵循多个基本规则:

  • 在默认情况下,您拒绝任何人发送的所有使用资源的请求。

  • 允许 将覆盖任意默认拒绝

  • 显式拒绝 将覆盖任意允许

  • 策略评估的顺序并不重要。

下图详述了 Amazon SQS 如何评估有关访问权限的决策。

描述了 Amazon SQS 如何评估访问权限决策的流程图。

In the previous diagram, number one. 该决策开始是一个默认拒绝

In the previous diagram, number two. 执行代码评估适用于请求的所有策略(根据资源、主体、操作和条件)。执行代码评估策略的顺序并不重要。

In the previous diagram, number three. 执行代码寻找应用于请求的显式拒绝指令。即使执行代码只找到了一个,也会返回拒绝决策,整个过程完成。

In the previous diagram, number four. 如果没有找到显式拒绝指令,那么执行代码将寻找应用于请求的任何允许指令。即使执行代码只找到了一个,也会返回允许决策,整个过程完成(服务将继续处理该请求)。

In the previous diagram, number five. 如果未找到任何允许指令,那么最终决策将是拒绝(因为没有显式拒绝允许,所以这将被视为一个默认拒绝)。