Exemple 1 : accorder une autorisation à une Compte AWS Exemple 2 : accorder deux autorisations à une Compte AWS Exemple 3 : accorder toutes les autorisations à deux Comptes AWS Exemple 4 : Accorder des autorisations inter-comptes à un rôle et à un nom d'utilisateur Exemple 5 : Accorder une autorisation à tous les utilisateurs Exemple 6 : Accorder une autorisation limitée dans le temps à tous les utilisateurs Exemple 7 : accorder toutes les autorisations à tous les utilisateurs d'une CIDR plage Exemple 8 : autorisations de liste d'autorisation et de liste de blocage pour les utilisateurs de différentes plages CIDR

Exemples de base des SQS politiques d'Amazon

Cette section présente des exemples de politiques pour les cas d'SQSutilisation courants d'Amazon.

Vous pouvez utiliser la console pour vérifier les effets de chaque politique lorsque vous les associez à l'utilisateur. Au départ, l'utilisateur n'a pas les autorisations requises et ne peut donc effectuer aucune action dans la console. A mesure que vous lui associez des stratégies, vous pouvez vérifier que l'utilisateur peut exécuter diverses actions dans la console.

Note

Nous vous recommandons d'utiliser deux fenêtres de navigateur : l'une pour accorder des autorisations et l'autre pour vous connecter à l' AWS Management Console aide des informations d'identification de l'utilisateur afin de vérifier les autorisations que vous lui accordez.

Exemple 1 : accorder une autorisation à une Compte AWS

L'exemple de politique suivant accorde à Compte AWS number 111122223333 l'SendMessageautorisation pour la file d'attente nommée 444455556666/queue1 dans la région USA Est (Ohio).


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_SendMessage",
      "Effect": "Allow",
      "Principal": {
         "AWS": [ 
            "111122223333"
         ]
      },
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
   }]  
}

Exemple 2 : accorder deux autorisations à une Compte AWS

L'exemple de politique suivant accorde à la 111122223333 fois le Compte AWS numéro SendMessage et l'ReceiveMessageautorisation pour la file d'attente nommée444455556666/queue1.


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_Send_Receive",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
      "Resource": "arn:aws:sqs:*:444455556666:queue1"
   }]
}

Exemple 3 : accorder toutes les autorisations à deux Comptes AWS

L'exemple de politique suivant accorde deux Comptes AWS numéros différents (111122223333et444455556666) l'autorisation d'utiliser toutes les actions auxquelles Amazon SQS autorise un accès partagé pour la file d'attente nommée 123456789012/queue1 dans la région USA Est (Ohio).


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}

Exemple 4 : Accorder des autorisations inter-comptes à un rôle et à un nom d'utilisateur

L'exemple de politique suivant accorderole1, username1 sous Compte AWS un numéro, l'autorisation 111122223333 multi-comptes d'utiliser toutes les actions auxquelles Amazon SQS autorise un accès partagé pour la file d'attente nommée 123456789012/queue1 dans la région USA Est (Ohio).

Les autorisations intercompte ne s'appliquent pas aux actions suivantes :


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "arn:aws:iam::111122223333:role/role1",
            "arn:aws:iam::111122223333:user/username1"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}

Exemple 5 : Accorder une autorisation à tous les utilisateurs

L'exemple de stratégie suivant accorde à tous les utilisateurs (anonymes) l'autorisation ReceiveMessage pour la file d'attente dénommée 111122223333/queue1.


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1"
   }]
}

Exemple 6 : Accorder une autorisation limitée dans le temps à tous les utilisateurs

L'exemple de stratégie suivant accorde à tous les utilisateurs (anonymes) l'autorisation ReceiveMessage pour la file d'attente dénommée 111122223333/queue1, mais seulement entre 12 h (midi) et 15 h le 31 janvier 2009.


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "DateGreaterThan" : {
            "aws:CurrentTime":"2009-01-31T12:00Z"
         },
         "DateLessThan" : {
            "aws:CurrentTime":"2009-01-31T15:00Z"
         }
      }
   }]
}

Exemple 7 : accorder toutes les autorisations à tous les utilisateurs d'une CIDR plage

L'exemple de politique suivant accorde à tous les utilisateurs (utilisateurs anonymes) l'autorisation d'utiliser toutes les SQS actions Amazon possibles qui peuvent être partagées pour la file d'attente nommée111122223333/queue1, mais uniquement si la demande provient de la 192.0.2.0/24 CIDR plage.


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         }
      }
   }]
}

Exemple 8 : autorisations de liste d'autorisation et de liste de blocage pour les utilisateurs de différentes plages CIDR

L'exemple de stratégie suivant comporte deux instructions :

La première instruction accorde à tous les utilisateurs (utilisateurs anonymes) de la 192.0.2.0/24 CIDR plage (sauf192.0.2.188) l'autorisation d'utiliser l'SendMessageaction pour la file d'attente nommée 111122223333 /queue1.
La deuxième instruction empêche tous les utilisateurs (utilisateurs anonymes) de la 12.148.72.0/23 CIDR plage d'utiliser la file d'attente.


{
   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         },
         "NotIpAddress" : {
            "aws:SourceIp":"192.0.2.188/32"
         }
      }
   }, {
      "Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"12.148.72.0/23"
         }
      }
   }]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

Utilisation de stratégies personnalisées avec le langage de la stratégie d'accès