一条规则包含一个资源、一项或多项操作以及一个值。每个操作均可拥有一个或多个值。
资源定义受保护的特定对象,例如 HTML 页或使用人力资源服务访问的用户工资信息。
操作是可在资源上执行的操作的名称,例如 Web 服务器操作的示例有 POST 或 GET。 例如,针对人力资源服务的一项可行的操作可以更改家庭电话号码。
值用于定义操作的权限,例如,允许或拒绝。
可以不使用某些服务的资源来定义操作。