Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de lenguaje de políticas de SQS acceso a Amazon personalizadas
Los siguientes son ejemplos de políticas de SQS acceso típicas de Amazon.
Ejemplo 1: conceder permiso a una cuenta
En el siguiente ejemplo, la SQS política de Amazon otorga a Cuenta de AWS
111122223333 permiso para enviar y recibir desde la queue2
propiedad Cuenta de AWS
de 444455556666.
{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Ejemplo 2: conceder permiso a una o varias cuentas
El siguiente ejemplo de SQS política de Amazon otorga uno o más Cuentas de AWS accesos a las colas propiedad de tu cuenta durante un período de tiempo específico. Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributes
acción, ya que la AddPermission
acción no permite especificar una restricción de tiempo al conceder el acceso a una cola.
{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }
Ejemplo 3: conceder permiso a las solicitudes de las EC2 instancias de Amazon
El siguiente ejemplo de SQS política de Amazon da acceso a las solicitudes que provienen de EC2 instancias de Amazon. Este ejemplo se basa en el ejemplo Ejemplo 2: conceder permiso a una o varias cuentas «»: restringe el acceso hasta antes del 30 de junio de 2009 a las 12 del mediodía (UTC) y restringe el acceso al rango de IP. 203.0.113.0/24
Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributes
acción, ya que la AddPermission
acción no permite especificar una restricción de dirección IP al conceder acceso a una cola.
{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }
Ejemplo 4: denegar acceso a una cuenta específica
El siguiente ejemplo de SQS política de Amazon deniega un Cuenta de AWS acceso específico a tu cola. Este ejemplo se basa en el ejemplo Ejemplo 1: conceder permiso a una cuenta «»: deniega el acceso a lo especificado Cuenta de AWS. Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributes
acción, ya que la AddPermission
acción no permite denegar el acceso a una cola (solo permite conceder acceso a una cola).
{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Ejemplo 5: denegar el acceso si no es desde un punto final VPC
El siguiente ejemplo de SQS política de Amazon restringe el acceso aqueue1
: 111122223333 solo puede realizar las ReceiveMessage
acciones SendMessage
y desde el ID del VPC punto de conexión vpce-1a2b3c4d
(especificado mediante la aws:sourceVpce
condición). Para obtener más información, consulte Puntos de enlace de Amazon Virtual Private Cloud para Amazon SQS.
nota
-
La
aws:sourceVpce
condición no requiere un recurso ARN para el VPC punto final, solo el ID del VPC punto final. -
Puedes modificar el siguiente ejemplo para restringir todas las acciones a un VPC punto final específico rechazando todas SQS las acciones de Amazon (
sqs:*
) en la segunda declaración. Sin embargo, dicha declaración de política estipularía que todas las acciones (incluidas las acciones administrativas necesarias para modificar los permisos de cola) deben realizarse a través del VPC punto final específico definido en la política, lo que podría impedir que el usuario modifique los permisos de cola en el futuro.
{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }