As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conceitos chave de política de acesso do Amazon SNS
As seções a seguir descrevem os conceitos que você precisa entender para usar a linguagem de políticas de acesso. Eles são apresentados em uma ordem lógica, com os primeiros termos que você precisa saber na parte superior da lista.
## Permissão
*Permissão* refere-se ao conceito de conceder ou negar algum tipo de acesso a um recurso específico. Basicamente, as permissões seguem este formato: “A tem/não tem permissão para realizar B para C, quando D se aplicar”. Por exemplo, *Jane* (A) tem permissão para *publicar* (B) em *TopicA* (C) desde que *utilize o protocolo HTTP* (D). Sempre que Jane fizer uma publicação em TopicA, o serviço verificará se ela tem permissão e se a solicitação está de acordo com as condições definidas na permissão.
## Declaração
*Declaração* é a descrição formal de uma única permissão, criada na linguagem de políticas de acesso. Você sempre cria uma declaração como parte de um documento de contêiner mais abrangente conhecido como *política* (consulte o próximo conceito).
## Política
*Política* é um documento (escrito na linguagem de políticas de acesso) que funciona como um contêiner para uma ou mais declarações. Por exemplo, uma política poderia ter duas declarações: uma que afirme que Jane pode se inscrever usando o protocolo de e-mail, e outra afirmando que Bob não pode fazer uma publicação no tópico A. Como mostrado na figura a seguir, um cenário equivalente seria ter duas políticas, uma que afirme que Jane pode se inscrever usando o protocolo de e-mail e outra afirmando que Bob não pode publicar no tópico A.
![\[Compara duas formas de organizar declarações de políticas no Amazon SNS. À esquerda, uma única política (Política A) contém duas declarações. À direita, as mesmas duas declarações são divididas entre duas políticas, com cada política contendo uma declaração. O diagrama ilustra que essas duas abordagens são equivalentes em termos de como as permissões são definidas e aplicadas.\]](http://docs.aws.amazon.com/pt_br/sns/latest/dg/images/AccessPolicyLanguage_Statement_and_Policy.gif)
Somente caracteres ASCII são permitidos em documentos de política. Você pode utilizar `aws:SourceAccount` e `aws:SourceOwner` contornar o cenário em que precisa conectar outros AWS serviços ARNs que contenham caracteres não ASCII. Veja a diferença entre [`aws:SourceAccount` versus `aws:SourceOwner`](sns-access-policy-use-cases.md#source-account-versus-source-owner).
## Emissor
*Emissor* é a pessoa que cria uma política para conceder permissões a um recurso. O emissor (por definição) é sempre o proprietário do recurso. AWS não permite que os usuários do AWS serviço criem políticas para recursos que não possuem. Se John for o proprietário do recurso, AWS autentica a identidade de John ao enviar a política que ele escreveu para conceder permissões para esse recurso.
## Entidade principal
*Entidade principal* é a pessoa ou as pessoas que recebem a permissão na política. A entidade principal é A na declaração “A tem permissão para realizar B para C, quando D se aplicar”. Em uma política, você pode definir a entidade principal como “ninguém” (ou seja, pode especificar um curinga para representar todas as pessoas). Você poderá fazer isso, por exemplo, se não quiser restringir o acesso com base na identidade real do solicitante, mas em outras características de identificação, como o endereço IP do solicitante.
## Ação
*Ação* é a atividade que a entidade principal tem permissão para executar. A ação é B na declaração “A tem permissão para realizar B para C, quando D se aplicar”. Normalmente, a ação é apenas a operação na solicitação para AWS. Por exemplo, Jane envia uma solicitação ao Amazon SNS com `Action``=Subscribe`. Você pode especificar uma ou várias ações em uma política.
## Recurso
*Recurso* é o objeto ao qual a entidade principal está solicitando acesso. O recurso é C na declaração “A tem permissão para realizar B para C, quando D se aplicar”.
## Condições e chaves
*Condições* são todas as restrições ou detalhes sobre a permissão. A condição é D na declaração “A tem permissão para realizar B para C, quando D se aplicar”. A parte da política que especifica as condições pode ser a mais detalhada e complexa de todas as partes. As condições comuns são relacionadas a:
+ Data e hora (por exemplo, a solicitação precisa chegar antes de um dia específico)
+ Endereço IP (por exemplo, o endereço IP do solicitante precisa ser fazer parte de determinado intervalo CIDR)
*Chave* é a característica específica que fundamenta a restrição de acesso. Por exemplo, a data e a hora da solicitação.
Você usa *condições* e *chaves* em conjunto para expressar a restrição. A maneira mais fácil de entender como você realmente implementa uma restrição é com um exemplo: se você deseja restringir o acesso para antes de 30 de maio de 2010, deve usar a condição chamada `DateLessThan`. Você usa a chave chamada `aws:CurrentTime` e a define com o valor `2010-05-30T00:00:00Z`. A AWS define as condições e chaves que você pode usar. O AWS serviço em si (por exemplo, Amazon SQS ou Amazon SNS) também pode definir chaves específicas do serviço. Para obter mais informações, consulte [Permissões da API do Amazon SNS: referência de ações e recursos](sns-access-policy-language-api-permissions-reference.md).
## Solicitante
O *solicitante* é a pessoa que envia uma solicitação a um AWS serviço e solicita acesso a um recurso específico. O solicitante envia uma solicitação AWS que basicamente diz: “Você vai me permitir fazer B a C onde D se aplica?”
## Avaliação
A *avaliação* é o processo que o AWS serviço usa para determinar se uma solicitação recebida deve ser negada ou permitida com base nas políticas aplicáveis. Para obter informações sobre a lógica de avaliação, consulte [Lógica de avaliação](sns-access-policy-language-evaluation-logic.md).
## Efeito
*Efeito* é o resultado que você deseja que uma declaração de política retorne no tempo da avaliação. Você especifica esse valor ao criar as declarações em uma política, e os valores possíveis são *negar* e *permitir*.
Por exemplo, você pode criar uma política que tenha uma declaração que *nega* todas as solicitações originárias da Antártica (efeito=negar considerando que a solicitação usa um endereço IP alocado para a Antártica). Como alternativa, você pode escrever uma política que tenha uma declaração que *permita* todas as solicitações que *não* são originárias da Antártica (effect=allow, considerando que a solicitação não é originária da Antártica). Embora as duas declarações pareçam realizar a mesma ação, na lógica da linguagem de políticas de acesso, elas são diferentes. Para obter mais informações, consulte [Lógica de avaliação](sns-access-policy-language-evaluation-logic.md).
Embora haja apenas dois valores possíveis que você pode especificar para o efeito (permitir ou negar), pode haver três resultados diferentes no tempo de avaliação da política: *negação padrão*, *permitir* ou *negação explícita*. Para obter mais informações, consulte os seguintes conceitos e [Lógica de avaliação](sns-access-policy-language-evaluation-logic.md).
## Negação padrão
*Negação padrão* é o resultado padrão de uma política na ausência de permitir ou negação explícita.
## Permitir
*Permitir* resulta de uma declaração que tem efeito = permitir, supondo que todas as condições indicadas foram atendidas. Exemplo: permitir solicitações se elas forem recebidas antes de 13h00 em 30 de abril de 2010. Um permitir substitui todas as negações padrão, mas nunca uma negação explícita.
## Negação explícita
A *negação explícita* resulta de uma declaração que tem efeito = negar, supondo que todas as condições indicadas foram atendidas. Exemplo: negar todas as solicitações originárias da Antártica. Todas as solicitações originárias da Antártica sempre serão negadas independentemente do que qualquer outra política possa permitir.