Lógica de evaluación del lenguaje de la política de acceso de Amazon - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lógica de evaluación del lenguaje de la política de acceso de Amazon

En el momento de la evaluación, Amazon SQS determina si una solicitud procedente de alguien que no es el propietario del recurso debe permitirse o denegarse. La lógica de evaluación sigue varias reglas básicas:

  • De forma predeterminada, todas las solicitudes para utilizar su recurso procedentes de cualquier persona que no sea usted se deniegan.

  • Un valor Allow anula cualquier valor Default-deny.

  • Una instrucción Explicit-deny anula cualquier instrucción allow.

  • El orden en que se evalúan las políticas no es importante.

En el diagrama siguiente se describe con detalle cómo Amazon SQS evalúa las decisiones sobre los permisos de acceso.

La decisión comienza con una instrucción default-deny.

El código de aplicación evalúa todas las políticas aplicables a la solicitud (en función del recurso, la entidad principal, la acción y las condiciones). El orden en que el código de aplicación evalúa las políticas no es importante.

El código de aplicación busca una instrucción explicit-deny que se puede aplicar a la solicitud. Si encuentra alguna, devuelve una decisión de denegar y el proceso termina.

Si no se encuentra ninguna instrucción explicit-deny, el código de cumplimiento buscará una instrucción allow que se pueda aplicar a la solicitud. Si encuentra alguna, el código de aplicación devuelve una decisión de permitir y el proceso continúa (el servicio sigue procesando la solicitud).

Si no se encuentra ninguna instrucción allow, la decisión final será deny (como no hay ninguna instrucción explicit-deny o allow, se considera una instrucción default-deny).