Fix the inconsistency between Chinese and English content (#12718)

content/zh/docs/concepts/security/index.md

@@ -318,7 +318,7 @@ Istio 的授权功能为网格中的工作负载提供网格、命名空间和
 
 ### 授权架构{#authorization-architecture}
 
-每个 Envoy 代理都运行一个授权引擎，该引擎在运行时授权请求。当请求到达代理时，授权引擎根据当前授权策略评估请求上下文，并返回授权结果 `ALLOW` 或 `DENY`。
+授权策略对服务器端 Envoy 代理的入站流量实施访问控制。每个 Envoy 代理都运行一个授权引擎，该引擎在运行时授权请求。当请求到达代理时，授权引擎根据当前授权策略评估请求上下文，并返回授权结果 `ALLOW` 或 `DENY`。
 运维人员使用 `.yaml` 文件指定 Istio 授权策略。
 
 {{< image width="75%"
@@ -328,9 +328,19 @@ Istio 的授权功能为网格中的工作负载提供网格、命名空间和
 
 ### 隐式启用{#implicit-enablement}
 
-您无需显式启用 Istio 的授权功能。只需将授权策略应用于工作负载即可实施访问控制。对于未应用授权策略的工作负载，Istio 不会执行访问控制，放行所有请求。
+您无需显式启用 Istio 的授权功能；它们在安装之后可用。要对您的工作负载实施访问控制，您需要应用授权策略。
 
-授权策略支持 `ALLOW` 和 `DENY` 动作。 拒绝策略优先于允许策略。如果将任何允许策略应用于工作负载，则默认情况下将拒绝对该工作负载的访问，除非策略中的规则明确允许。当您将多个授权策略应用于相同的工作负载时，Istio 会累加地应用它们。
+对于没有应用授权策略的工作负载，Istio 允许所有请求。
+
+授权策略支持 `ALLOW`、`DENY` 和 `CUSTOM` 操作。您可以根据需要应用多个策略，每个策略具有不同的操作，以确保对工作负载的访问安全。
+
+Istio 按以下顺序检查层中的匹配策略：`CUSTOM`、`DENY`，然后是 `ALLOW`。对于每种类型的操作，Istio 首先检查是否有策略的操作已被应用，然后检查请求是否匹配策略的规则。如果请求与其中一层中的策略不匹配，则检查将继续到下一层。
+
+下图详细显示了策略优先级：
+
+{{< image width="50%" link="./authz-eval.png" caption="授权策略优先级">}}
+
+当您将多个授权策略应用于同一工作负载时，Istio 会累加地应用它们。
 
 ### 授权策略{#authorization-policies}