Ejemplos de lenguaje de políticas de SQS acceso a Amazon personalizadas - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de lenguaje de políticas de SQS acceso a Amazon personalizadas

Los siguientes son ejemplos de políticas de SQS acceso típicas de Amazon.

Ejemplo 1: conceder permiso a una cuenta

En el siguiente ejemplo, la SQS política de Amazon otorga a Cuenta de AWS 111122223333 permiso para enviar y recibir desde la queue2 propiedad Cuenta de AWS de 444455556666.

{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

Ejemplo 2: conceder permiso a una o varias cuentas

El siguiente ejemplo de SQS política de Amazon otorga uno o más Cuentas de AWS accesos a las colas propiedad de tu cuenta durante un período de tiempo específico. Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributesacción, ya que la AddPermissionacción no permite especificar una restricción de tiempo al conceder el acceso a una cola.

{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }

Ejemplo 3: conceder permiso a las solicitudes de las EC2 instancias de Amazon

El siguiente ejemplo de SQS política de Amazon da acceso a las solicitudes que provienen de EC2 instancias de Amazon. Este ejemplo se basa en el ejemplo Ejemplo 2: conceder permiso a una o varias cuentas «»: restringe el acceso hasta antes del 30 de junio de 2009 a las 12 del mediodía (UTC) y restringe el acceso al rango de IP. 203.0.113.0/24 Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributesacción, ya que la AddPermissionacción no permite especificar una restricción de dirección IP al conceder acceso a una cola.

{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }

Ejemplo 4: denegar acceso a una cuenta específica

El siguiente ejemplo de SQS política de Amazon deniega un Cuenta de AWS acceso específico a tu cola. Este ejemplo se basa en el ejemplo Ejemplo 1: conceder permiso a una cuenta «»: deniega el acceso a lo especificado Cuenta de AWS. Es necesario redactar esta política y subirla a Amazon SQS mediante la SetQueueAttributesacción, ya que la AddPermissionacción no permite denegar el acceso a una cola (solo permite conceder acceso a una cola).

{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

Ejemplo 5: denegar el acceso si no es desde un punto final VPC

El siguiente ejemplo de SQS política de Amazon restringe el acceso aqueue1: 111122223333 solo puede realizar las ReceiveMessageacciones SendMessagey desde el ID del VPC punto de conexión vpce-1a2b3c4d (especificado mediante la aws:sourceVpce condición). Para obtener más información, consulte Puntos de enlace de Amazon Virtual Private Cloud para Amazon SQS.

nota
  • La aws:sourceVpce condición no requiere un recurso ARN para el VPC punto final, solo el ID del VPC punto final.

  • Puedes modificar el siguiente ejemplo para restringir todas las acciones a un VPC punto final específico rechazando todas SQS las acciones de Amazon (sqs:*) en la segunda declaración. Sin embargo, dicha declaración de política estipularía que todas las acciones (incluidas las acciones administrativas necesarias para modificar los permisos de cola) deben realizarse a través del VPC punto final específico definido en la política, lo que podría impedir que el usuario modifique los permisos de cola en el futuro.

{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }