Concepts clés - Amazon Simple Notification Service

Concepts clés

Les sections suivantes décrivent les concepts que vous devez connaître pour utiliser le langage de la politique d'accès. Ils vous sont présentés dans un ordre logique, avec les premiers termes que vous devez savoir en haut de la liste.

Autorisation

Une autorisation est le concept consistant à autoriser ou à refuser un type d'accès à une ressource spécifique. Les autorisations suivent fondamentalement cette forme : « A est/n'est pas autorisé à faire B pour C lorsque D s'applique ». Par exemple, Jane (A) est autorisée à publier (B) dans TopicA (C) pour autant qu'elle utilise le protocole HTTP (D). Chaque fois que Jane effectue une publication dans TopicA, le service vérifie si elle possède l'autorisation appropriée et si la demande est conforme aux conditions définies dans l'autorisation.

Instruction

Une instruction est la description formelle d'une autorisation unique, écrite dans le langage de la politique d'accès. Vous écrivez toujours une instruction dans le cadre d'un document conteneur plus vaste connu sous le nom de politique (voir le concept suivant).

Politique

Une politique est un document (écrit dans le langage de la politique d'accès) qui joue le rôle de conteneur pour une ou plusieurs instructions. Par exemple, une politique peut comporter deux instructions : une indiquant que Jane peut s'abonner à l'aide du protocole de messagerie et une autre indiquant que Bob ne peut pas publier dans la rubrique A. Comme illustré dans la figure suivante, un scénario équivalent impliquerait deux politiques : une indiquant que Jane peut s'abonner à l'aide du protocole de messagerie, et l'autre indiquant que Bob ne peut pas publier dans la rubrique A.


            Schéma de politique

Seuls les caractères ASCII sont autorisés dans les documents de politique. Vous pouvez utiliser aws:SourceAccount et aws:SourceOwner pour contourner le scénario dans lequel vous devez brancher d'autres ARN de services AWS contenant des caractères non-ASCII. Reportez-vous à la différence entre aws:SourceAccount par rapport à aws:SourceOwner.

Emetteur

L'émetteur est la personne qui écrit une politique pour accorder des autorisations pour une ressource. Par définition, l'auteur est toujours le propriétaire de la ressource. AWS ne permet pas à des utilisateurs de service AWS de créer des politiques pour les ressources qui ne leur appartiennent pas. Si John est le propriétaire de la ressource, AWS authentifie son identité lorsqu'il envoie la politique qu'il a écrite pour accorder des autorisations d'accès à cette ressource.

Principal

Le principal est la ou les personnes qui reçoivent l'autorisation dans la politique. Le principal correspond à A dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». Vous pouvez configurer une politique pour que le principal s'applique à tout le monde. En d'autres termes, vous pouvez spécifier un caractère générique pour représenter tous les utilisateurs. Cette approche est notamment utile si vous ne voulez pas limiter l'accès en fonction de l'identité réelle du demandeur, mais plutôt en fonction de certaines autres caractéristiques d'identification telles que son adresse IP.

Action

L'action est l'activité que le principal est autorisé à effectuer. L'action correspond à B dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». En général, l'action est simplement l'opération dans la demande envoyée à AWS. Par exemple, Jane envoie une demande à Amazon SNS avec Action=Subscribe. Vous pouvez spécifier une ou plusieurs actions dans une politique.

Ressource

La ressource est l'objet pour lequel le principal demande l'accès. La ressource correspond à C dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ».

Conditions et clés

Les conditions sont des restrictions ou des détails relatifs à l'autorisation. La condition correspond à D dans l'instruction « A est autorisé à faire B pour C lorsque D s'applique ». La partie de la politique qui spécifie les conditions est parfois la plus détaillée et la plus complexe. Les conditions typiques sont liées aux éléments suivants :

  • Date et heure (par exemple, la demande doit arriver avant une date spécifique)

  • Adresse IP (par exemple, l'adresse IP du demandeur doit faire partie d'une plage d'adresses CIDR particulière)

Une clé est la caractéristique spécifique qui est la base d'une restriction d'accès. Par exemple, la date et l'heure de la demande.

Vous utilisez à la fois les conditions et les clés afin d'exprimer la restriction. La méthode la plus simple pour comprendre comment mettre en œuvre une restriction est un exemple concret : si vous souhaitez limiter l'accès à avant le 30 mai 2010, utilisez la condition appelée DateLessThan. Vous utilisez la clé appelée aws:CurrentTime et vous la définissez à la valeur 2010-05-30T00:00:00Z . AWS définit les conditions et les clés que vous pouvez utiliser. Le service AWS lui-même (par exemple, Amazon SQS ou Amazon SNS) peut aussi définir des clés qui lui sont spécifiques. Pour plus d'informations, consultez Autorisations d'API Amazon SNS : référence des actions et ressources.

Demandeur

Le demandeur est la personne qui envoie une demande à un service AWS afin d'accéder à une ressource donnée. Le demandeur envoie une demande à AWS qui équivaut fondamentalement à dire : « M'autorisez-vous à faire B pour C lorsque D s'applique ? »

Evaluation

L'évaluation est le processus que le service AWS utilise pour déterminer si une demande entrante doit être refusée ou autorisée en fonction des politiques applicables. Pour plus d'informations sur la logique d'évaluation, consultez la section Logique d'évaluation.

Effet

L'effet est le résultat que vous voulez qu'une instruction de politique renvoie au moment de l'évaluation. Vous spécifiez cette valeur lorsque vous écrivez les instructions dans une politique. Les valeurs possibles sont deny (refuser) et allow (autoriser).

Par exemple, vous pouvez écrire une politique dont l'instruction refuse toutes les demandes qui viennent de l'Antarctique (effet = refus étant donné que la demande utilise une adresse IP attribuée à l'Antarctique). Vous pouvez également écrire une politique dont l'instruction autorise toutes les demandes qui ne proviennent pas de l'Antarctique (effet = autorisation, étant donné que la demande ne vient pas de l'Antarctique). Même si les deux instructions semblent avoir le même résultat, selon la logique du langage de la politique d'accès, elles sont différentes. Pour plus d'informations, consultez Logique d'évaluation.

Bien que vous ne puissiez définir que deux valeurs distinctes pour l'effet (autorisation ou refus), trois résultats différents sont possibles lors de l'évaluation de politique : refus par défaut, autorisation ou refus explicite. Pour plus d'informations, reportez-vous aux concepts ci-dessous, ainsi qu'à la section Logique d'évaluation.

Refus par défaut

Un refus par défaut est le résultat par défaut d'une politique en l'absence d'autorisation ou de refus explicite.

Autorisation

Une autorisation est le résultat d'une instruction avec l'effet=allow, sous réserve que toutes les conditions soient remplies. Exemple : autoriser les demandes si elles sont reçues avant 13 h le 30 avril 2010. Une autorisation prévaut sur tous les refus par défaut, mais jamais sur un refus explicite.

Refus explicite

Un refus explicite est le résultat d'une instruction qui avec l'effet=refuser, sous réserve que toutes les conditions soient remplies. Exemple : refuser toutes les demandes si elles viennent de l'Antarctique. Toute demande qui vient de l'Antarctique sera toujours refusée, indépendamment des autorisations octroyées par les autres politiques.