Logique d'évaluation du langage de la stratégie d'accès Amazon SQS

Au moment de l'évaluation, Amazon SQS détermine si une demande d'un utilisateur qui n'est pas le propriétaire de la ressource doit être autorisée ou refusée. La logique d'évaluation suit plusieurs règles de base :

• Par défaut, toutes les demandes d'utilisation de votre ressource ne provenant pas de vous-même sont refusées.

• La valeur Autorisation prévaut sur Default-deny.

• La valeur Explicit-deny prévaut sur allow.

• L'ordre dans lequel les stratégies sont évaluées n'a pas d'importance.

Le schéma suivant décrit en détail la façon dont Amazon SQS évalue les décisions relatives aux autorisations d'accès.

La décision commence par un refus par défaut (default-deny).

Le code d'application évalue toutes les stratégies qui s'appliquent à la demande (en se basant sur la ressource, le mandataire, l'action et les conditions). L'ordre dans lequel le code d'application évalue les stratégies n'a pas d'importance.

Le code d'application recherche une instruction explicit-deny qui peut s'appliquer à la demande. S'il en trouve une, le code d'application renvoie une décision de type deny (refus) et le processus se termine.

En l'absence d'instruction explicit-deny (refus explicite), le code d'application recherche des instructions allow (autorisation) pouvant s'appliquer à la demande. S'il en trouve une, il renvoie une décision de type allow (autoriser) et le processus se termine (le service continue à traiter la demande).

Si aucune instruction allow n'est détectée, la décision finale est un refus (deny). En l'absence de refus explicite (explicit-deny) ou d'autorisation (allow), nous parlons d'un refus par défaut (default-deny).