翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon SQSアクセスポリシー言語の明示的な拒否とデフォルトの拒否の関係 Amazon SQS ポリシーがリクエストに直接適用されない場合、リクエストの結果は、*[Default-deny](sqs-creating-custom-policies-key-concepts.md#default-deny)* となります。たとえば、ユーザーが Amazon SQSを使用するアクセス権限をリクエストしたが、そのユーザーに適用される唯一のポリシーではDynamoDBを使用できる場合、リクエストの結果は** default-deny**となります。 ステートメントの条件が満たされない場合、リクエストの結果は **default-deny**になります。ステートメントのすべての条件が満たされている場合、ポリシーの *[[Effect] (効果)](sqs-creating-custom-policies-key-concepts.md#effect)* エレメントの値に基づいて、リクエストの結果は *[許可](sqs-creating-custom-policies-key-concepts.md#allow)* または *[Explicit-deny](sqs-creating-custom-policies-key-concepts.md#explicit-deny)* のいずれかになります。条件が満たされていない際にポリシーが行為を特定していない場合、デフォルトの結果として **default-deny** となります。たとえば、南極大陸から来るリクエストを防ぐとします。その場合、南極大陸から来ていないリクエストにのみ許可を与えるポリシー A1を記述します。以下の図はAmazon SQSポリシーについて解説しています。 ![\[ポリシー A1 では、[効果] が [許可] に等しく、[条件] が [リクエストが南極大陸から来ていない場合] に等しくなっています。\]](http://docs.aws.amazon.com/ja_jp/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-allow-request-if-not-from-antarctica.png) ユーザーがアメリカからリクエストを送信すると、条件が満たされ (リクエストは南極大陸から来ていない)、リクエストの結果は **allow** になります。ただし、ユーザーが南極からリクエストを送信した場合、条件は満たされず、リクエストはデフォルトで **default-deny** になります。南極大陸から来たリクエストを明示的に拒否するポリシー A2を作成して、結果を **explicit-deny** に変更することができます。以下の図はポリシーについて解説しています。 ![\[ポリシー A2 では、[効果] が [拒否] に等しく、[条件] が [リクエストが南極大陸から来ている場合] に等しくなっています。\]](http://docs.aws.amazon.com/ja_jp/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-explicitly-deny-request-if-from-antarctica.png) ユーザーが南極大陸からリクエストを送信すると、条件は満たされ、リクエストの結果は**explicit-deny**となります。 **default-deny** と **explicit-deny** の違いは重要です。**allow** は前者を上書きできますが、後者を上書きすることはできないためです。たとえば、ポリシー Bは、2010年6月1日に届いたリクエストを許可します。以下の図は、このポリシーをポリシー A1およびポリシー A2と組み合わせた場合を比較しています。 ![\[シナリオ 1 とシナリオ 2 を並べた比較。\]](http://docs.aws.amazon.com/ja_jp/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-compare-allow-request-deny-request-policies-override.png) シナリオ 1では、ポリシー A1の結果は**default-deny**になり、ポリシー Bの結果は**allow**になります。これは、ポリシーで 2010年6月1日に来るリクエストが許可されるためです。ポリシー Bによる**allow**は、ポリシー A1の **default-deny**で拒否に優先するため、結果としてリクエストは許可されます。 シナリオ 2 で、ポリシー B2の結果は **explicit-deny** になり、ポリシー Bの結果は **allow** になります。ポリシー A2 による**explicit-deny**は、ポリシー Bの**allow** に優先するため、結果としてリクエストは拒否されます。