Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de langage de politique d'SQSaccès Amazon personnalisé
Vous trouverez ci-dessous des exemples de politiques d'SQSaccès typiques d'Amazon.
Exemple 1 : Accorder une autorisation à un compte
L'exemple de SQS politique Amazon suivant donne à Compte AWS
111122223333 l'autorisation d'envoyer et de recevoir depuis queue2 la propriété de 444455556666. Compte AWS
{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Exemple 2 : Accorder une autorisation à un ou plusieurs comptes
L'exemple suivant de SQS politique Amazon donne un ou plusieurs Comptes AWS accès aux files d'attente détenues par votre compte pendant une période spécifique. Il est nécessaire de rédiger cette politique et de la télécharger sur Amazon à SQS l'aide de l'SetQueueAttributesaction, car celle-ci ne permet pas de spécifier une limite de temps lors de l'octroi de l'accès à une file d'attente. AddPermission
{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }
Exemple 3 : donner l'autorisation aux demandes provenant d'EC2instances Amazon
L'exemple de SQS politique Amazon suivant donne accès aux demandes provenant d'EC2instances Amazon. Cet exemple s'appuie sur l'exemple Exemple 2 : Accorder une autorisation à un ou plusieurs comptes « » : il restreint l'accès jusqu'au 30 juin 2009 à midi (UTC), il restreint l'accès à la plage d'adresses IP. 203.0.113.0/24 Il est nécessaire de rédiger cette politique et de la télécharger sur Amazon à SQS l'aide de l'SetQueueAttributesaction, car celle-ci ne permet pas de spécifier une restriction d'adresse IP lors de l'octroi de l'accès à une file d'attente. AddPermission
{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }
Exemple 4 : Refus d'accès à un compte spécifique
L'exemple suivant de SQS politique d'Amazon refuse un Compte AWS accès spécifique à votre file d'attente. Cet exemple s'appuie sur l'exemple Exemple 1 : Accorder une autorisation à un compte « » : il refuse l'accès au spécifié Compte AWS. Il est nécessaire de rédiger cette politique et de la télécharger sur Amazon à SQS l'aide de l'action, car l'SetQueueAttributesAddPermissionaction ne permet pas de refuser l'accès à une file d'attente (elle permet uniquement d'accorder l'accès à une file d'attente).
{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Exemple 5 : refuser l'accès s'il ne provient pas d'un VPC point de terminaison
L'exemple suivant de SQS politique Amazon restreint l'accès à queue1 : 111122223333 peut effectuer les ReceiveMessageactions SendMessageet uniquement à partir de l'ID du point de VPC terminaison vpce-1a2b3c4d (spécifié à l'aide de la condition). aws:sourceVpce Pour de plus amples informations, veuillez consulter Points de terminaison Amazon Virtual Private Cloud pour Amazon SQS.
Note
-
La
aws:sourceVpcecondition ne nécessite pas un ARN pour la ressource du VPC point de terminaison, uniquement l'ID du VPC point de terminaison. -
Vous pouvez modifier l'exemple suivant pour restreindre toutes les actions à un point de VPC terminaison spécifique en refusant toutes les SQS actions Amazon (
sqs:*) dans la deuxième instruction. Cependant, une telle déclaration de politique stipulerait que toutes les actions (y compris les actions administratives nécessaires pour modifier les autorisations de file d'attente) doivent être effectuées via le point de VPC terminaison spécifique défini dans la politique, empêchant potentiellement l'utilisateur de modifier les autorisations de file d'attente à l'avenir.
{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
