Relaciones entre denegaciones explícitas y predeterminadas en el lenguaje de la política de acceso de Amazon SQS - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Relaciones entre denegaciones explícitas y predeterminadas en el lenguaje de la política de acceso de Amazon SQS

Si una política de Amazon SQS no se aplica directamente a una solicitud, esta da como resultado Default-deny. Por ejemplo, si un usuario solicita permiso para utilizar Amazon SQS pero la única política que se aplica al usuario puede utilizar DynamoDB, las solicitudes dan como resultado default-deny.

Si no se cumple una condición de una instrucción, la solicitud da como resultado default-deny. Si se cumplen todas las condiciones de una instrucción, la solicitud da como resultado Permitir o Explicit-deny, en función del valor del elemento Effect de la política. Las políticas no especifican qué es lo que se debe hacer si no se cumple una condición, por lo que el resultado predeterminado en este caso es default-deny. Por ejemplo, suponga que desea evitar las solicitudes que proceden de la Antártida. Puede escribir una política denominada A1 que permite una solicitud solo si no procede de la Antártida. El siguiente diagrama ilustra la política de Amazon SQS.

Política A1, que establece que el efecto es igual a permitir y la condición es igual a si la solicitud no proviene de la Antártida.

Si un usuario envía una solicitud desde Estados Unidos, la condición se cumple (la solicitud no procede de la Antártida) y la solicitud da como resultado allow. Sin embargo, si un usuario envía una solicitud desde la Antártida, la condición no se cumple y la solicitud da como resultado de forma predeterminada default-deny. Puede cambiar el resultado a explicit-deny si escribe una política A2 que deniegue explícitamente una solicitud si procede de la Antártida. El siguiente diagrama ilustra esta política.

Política A2, que establece que el efecto es igual al denegar y la condición es igual a si la solicitud proviene de la Antártida.

Si un usuario envía una solicitud desde la Antártida, la condición se cumple y la solicitud da como resultado explicit-deny.

La diferencia entre default-deny y explicit-deny es importante, ya que allow puede sobrescribir la primera, pero no la segunda. Por ejemplo, la política B permite solicitudes si llegan el 1 de junio de 2010. En el siguiente diagrama se compara la combinación de esta política con las políticas A1 y A2.

Una side-by-side comparación entre el escenario 1 y el escenario 2.

En el escenario 1, la política A1 da lugar a default-deny y la política B da lugar a allow, ya que la política permite las solicitudes que entran el 1 de junio de 2010. La instrucción allow de la política B anula la instrucción default-deny de la política A1 y la solicitud se permite.

En el escenario 2, la política B2 da lugar a explicit-deny y la política B da lugar a allow. La instrucción explicit-deny de la política A2 anula la instrucción allow de la política B y la solicitud se deniega.