Relationships between explicit and default denials in the Amazon SQS Access Policy Language - Amazon Simple Queue Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Relationships between explicit and default denials in the Amazon SQS Access Policy Language

如果 Amazon SQS 政策不直接应用于请求,请求结果为 Default-deny。例如,如果用户请求使用权限 Amazon SQS 但是只有适用于用户的策略才能使用 DynamoDB,请求结果 default-deny.

如果未达到声明中的条件,请求将导致 default-deny。如果符合声明中的所有条件,请求结果均为 AllowExplicit-deny 基于 Effect 政策的要素。策略不指定如果某个条件不符合要怎么办,这个案例的默认结果是A default-deny。例如,您希望防止来自南极洲的请求。您编写了策略 A1,只要请求不是来自于南极洲,就接受请求。下列示意图说明该 Amazon SQS 策略。


						架构概述

如果用户发送来自美国的请求,则符合该条件(请求不来自南极洲),并且请求结果将导致 allow。但是,如果用户发送来自南极地区的请求,则不符合该条件,请求默认为A default-deny。您可以将结果更改为 explicit-deny 通过写入政策A2明确拒绝其来自南极地区的请求。下列示意图说明了该策略。


						架构概述

如果用户发送了南极洲的请求,则会满足该条件,并且请求结果会导致 explicit-deny.

区别 default-denyexplicit-deny 很重要 allow 可以覆盖以前但不是后者。例如,策略 B 允许在 2010 年 6 月 1 日到达的请求。下图比较了将此策略与策略 A1 和策略 A2 进行组合的情况。


						Overriding

在情景1中,政策A1结果为A default-deny 和政策B结果 allow 因为该政策允许在2010年6月1日进行请求。TheThethe allow 从政策B代替 default-deny 从政策A1中,允许请求。

在情景2中,政策B2结果为 explicit-deny 和政策B结果 allow。TheThethe explicit-deny 从政策A2中,A2代替 allow 从政策B中,请求被拒绝。