Relações entre negações explícitas e padrão na linguagem de políticas de acesso do Amazon SQS - Amazon Simple Queue Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Relações entre negações explícitas e padrão na linguagem de políticas de acesso do Amazon SQS

Se uma política do Amazon SQS não se aplicar diretamente a uma solicitação, esta resultará em uma Negação padrão. Por exemplo, se um usuário solicitar permissão para usar o Amazon SQS, mas a única política que se aplica a ele puder usar o DynamoDB, as solicitações resultarão em uma negação padrão.

Se uma condição em uma instrução não for atendida, a solicitação resultará em uma negação padrão. Se todas as condições em uma instrução forem atendidas, a solicitação resultará em uma Permitir ou uma Negação explícita, com base no valor do elemento Efeito da política. As políticas não especificam o que fazer se uma condição não for atendida, portanto, o resultado padrão nesse caso é uma negação padrão. Por exemplo, digamos que você deseje evitar solicitações da Antártica. Você elabora uma Política A1 que permite uma solicitação apenas se não vier da Antártica. O seguinte diagrama ilustra a política do Amazon SQS.

Política A1, que contém Efeito igual a Permitir e Condição igual a se a solicitação não for da Antártica.

Se um usuário enviar uma solicitação dos EUA, a condição será atendida (a solicitação não será da Antártica) e a solicitação resultará em uma permissão. No entanto, se um usuário enviar uma solicitação da Antártica, a condição não será atendida, e a solicitação será padronizada para uma solicitação padrão. Você pode alterar o resultado para uma negação explícita criando a Política A2 que nega explicitamente uma solicitação quando ela for recebida da Antártica. O seguinte diagrama ilustra a política.

Política A2, que contém Efeito igual a Negar e Condição igual a se a solicitação for da Antártica.

Se um usuário enviar uma solicitação da Antártica, a condição será atendida, e a solicitação resultará em uma negação explícita.

A distinção entre uma negação padrão e uma negação explícita é importante porque uma permissão pode substituir a anterior, mas não a última. Por exemplo, a Política B permite solicitações que cheguem em 1º de junho de 2010. O diagrama a seguir compara a combinação dessa política com Política A1 e Política A2.

Uma side-by-side comparação entre o cenário 1 e o cenário 2.

No Cenário 1, a Política A1 resulta em uma negação padrão e a Política B resulta em uma permissão porque a política permite solicitações recebidas em 1º de junho de 2010. A permissão da Política B substitui a negação padrão da Política A1, e a solicitação é permitida.

No Cenário 2, a Política B2 resulta em uma negação explícita, e a Política B resulta em uma permissão. A negação explícita da Política A2 substitui a permissão da Política B, e a solicitação é negada.