API網(wǎng)關(guān):為什么您需要ALLOW和DENY資源策略?
                        

                        
                        

                            
我查看了AWS的官方文檔,其中描述了如何創(chuàng)建一個(gè)策略,該策略僅在SourceIP位于特定CIDR內(nèi)時(shí)才允許請求。
 

我想解決的問題是,為什么你需要ALLOW和DENY?既然資源策略應(yīng)該定義權(quán)限邊界,那么DENY就不夠了嗎?
 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*"
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "123.4.5.6/24"
                }
            }
        }
    ]
}

 

這樣的東西不夠嗎(選項(xiàng)1)?
 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:api-id:*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": ["123.4.5.6/24" ]
                }
            }
        }
    ]
}

 

或者(選項(xiàng)2)只有一個(gè)拒絕,除了:
 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:region:account-id:api-id:*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": ["123.4.5.6/24" ]
                }
            }
        }
    ]
}


                        


                        

                            


                                

                                    
                                

                            

                            

                        


                    

                


                

                    

                        
? 最佳回答:
                        


                    



                    

                        

                            

                                

                                    
                                    


                                        
當(dāng)有人試圖訪問API時(shí):
 

     
 
  1. 如果存在適用的DENY策略,則拒絕訪問;否則
    2.  
 
  2. 如果存在適用的ALLOW策略,則允許訪問;否則
    3.  
 
  3. 訪問被拒絕。
    4.  

 

因此,您的選項(xiàng)2不起作用,因?yàn)闆]有適用的ALLOW政策。
 

您的選項(xiàng)1確實(shí)允許您想要的訪問,但其他策略也可能允許在各種條件下訪問各種主體。
 

文檔中的版本確保只向具有給定范圍內(nèi)的sourceIP的主體提供訪問權(quán)限,無論應(yīng)用何種其他策略,因?yàn)槭紫葯z查DENY策略。

                                    



                                


                            

                        

                    



                


                




            


            
        

    








    
    
    




主站蜘蛛池模板:
日本精品3d动漫一区二区|
天堂一区人妻无码|
99偷拍视频精品一区二区|
久久亚洲综合色一区二区三区|
亚洲av乱码中文一区二区三区
|
岛国精品一区免费视频在线观看|
国产手机精品一区二区|
末成年女A∨片一区二区|
精品乱子伦一区二区三区高清免费播放|
免费无码一区二区三区|
国产激情з∠视频一区二区|
一区二区三区四区精品|
精品久久久中文字幕一区|
av无码免费一区二区三区|
人妻无码一区二区三区AV|
国产亚洲一区二区精品|
少妇人妻偷人精品一区二区|
视频在线一区二区三区|
北岛玲在线一区二区|
麻豆精品一区二区综合av|
无码精品蜜桃一区二区三区WW|
韩国一区二区三区|
在线一区二区观看|
国产一区内射最近更新|
日本韩国黄色一区二区三区|
日本精品视频一区二区|
无码人妻精品一区二区蜜桃AV|
日韩国产一区二区|
国产成人一区在线不卡|
国产波霸爆乳一区二区|
国产午夜精品一区理论片|
91精品国产一区|
bt7086福利一区国产|
99偷拍视频精品一区二区|
精品一区二区三区免费毛片|
无码AⅤ精品一区二区三区|
精品少妇一区二区三区在线|
亚洲一区AV无码少妇电影☆|
色欲精品国产一区二区三区AV|
精品无码AV一区二区三区不卡|
乱子伦一区二区三区|