Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sprachbeispiele für benutzerdefinierte Amazon SQS Access-Richtlinien
Im Folgenden finden Sie Beispiele für typische SQS Amazon-Zugriffsrichtlinien.
Beispiel 1: Einem Konto eine Berechtigung erteilen
Die folgende SQS Beispielrichtlinie von Amazon erteilt AWS-Konto
111122223333 die Erlaubnis, an 444455556666 Eigentümer zu senden und von queue2 dort zu empfangen. AWS-Konto
{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Beispiel 2: Einem oder mehreren Konten eine Berechtigung erteilen
Die folgende SQS Amazon-Beispielrichtlinie gewährt eine oder mehrere AWS-Konten Zugriff auf Warteschlangen, die Ihrem Konto gehören, für einen bestimmten Zeitraum. Es ist notwendig, diese Richtlinie zu schreiben und sie SQS mithilfe der SetQueueAttributesAktion auf Amazon hochzuladen, da die AddPermissionAktion die Angabe einer Zeitbeschränkung bei der Gewährung des Zugriffs auf eine Warteschlange nicht zulässt.
{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }
Beispiel 3: Erteilen Sie Berechtigungen für Anfragen von EC2 Amazon-Instances
Die folgende SQS Amazon-Beispielrichtlinie gewährt Zugriff auf Anfragen, die von EC2 Amazon-Instances stammen. Dieses Beispiel baut auf dem Beispiel "Beispiel 2: Einem oder mehreren Konten eine Berechtigung erteilen" auf: Es beschränkt den Zugriff auf die Zeit vor dem 30. Juni 2009 um 12 Uhr (UTC) und schränkt den Zugriff auf den IP-Bereich ein. 203.0.113.0/24 Es ist notwendig, diese Richtlinie zu schreiben und sie SQS mithilfe der SetQueueAttributesAktion auf Amazon hochzuladen, da die AddPermissionAktion die Angabe einer IP-Adressbeschränkung bei der Gewährung des Zugriffs auf eine Warteschlange nicht zulässt.
{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }
Beispiel 4: Zugriff für ein bestimmtes Konto verweigern
Das folgende Beispiel einer SQS Amazon-Richtlinie verweigert einen bestimmten AWS-Konto Zugriff auf Ihre Warteschlange. Dieses Beispiel baut auf dem Beispiel "Beispiel 1: Einem Konto eine Berechtigung erteilen" auf: Es verweigert den Zugriff auf die angegebene Datei. AWS-Konto Es ist notwendig, diese Richtlinie zu schreiben und sie SQS mithilfe der SetQueueAttributesAktion auf Amazon hochzuladen, da die AddPermissionAktion die Verweigerung des Zugriffs auf eine Warteschlange nicht zulässt (sie ermöglicht nur die Gewährung des Zugriffs auf eine Warteschlange).
{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Beispiel 5: Zugriff verweigern, wenn er nicht von einem VPC Endpunkt aus erfolgt
Das folgende Beispiel einer SQS Amazon-Richtlinie beschränkt den Zugriff aufqueue1: 111122223333 kann die ReceiveMessageAND-Aktionen nur von der SendMessageVPCEndpunkt-ID aus ausführen vpce-1a2b3c4d (angegeben anhand der Bedingung). aws:sourceVpce Weitere Informationen finden Sie unter Amazon Virtual Private Cloud Cloud-Endpunkte für Amazon SQS.
Anmerkung
-
Die
aws:sourceVpceBedingung erfordert keine Ressource ARN für den Endpunkt, sondern nur die VPC Endpunkt-ID. VPC -
Sie können das folgende Beispiel ändern, um alle Aktionen auf einen bestimmten VPC Endpunkt zu beschränken, indem Sie alle SQS Amazon-Aktionen (
sqs:*) in der zweiten Anweisung verweigern. Eine solche Richtlinienerklärung würde jedoch vorsehen, dass alle Aktionen (einschließlich administrativer Aktionen, die zur Änderung der Warteschlangenberechtigungen erforderlich sind) über den in der Richtlinie definierten spezifischen VPC Endpunkt ausgeführt werden müssen, wodurch der Benutzer möglicherweise in future daran gehindert wird, die Warteschlangenberechtigungen zu ändern.
{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
