Contoh Bahasa Kebijakan Akses Amazon SQS Kustom - Amazon Simple Queue Service
Contoh 1: Berikan izin ke satu akunContoh 2: Berikan izin ke satu atau beberapa akunContoh 3: Berikan izin untuk permintaan dari instans Amazon EC2Contoh 4: Tolak akses ke akun tertentuContoh 5: Tolak akses jika bukan dari titik akhir VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh Bahasa Kebijakan Akses Amazon SQS Kustom

Berikut ini adalah contoh kebijakan akses Amazon SQS yang khas.

Contoh 1: Berikan izin ke satu akun

Contoh berikut kebijakan Amazon SQS memberikan Akun AWS 111122223333 izin untuk mengirim dan menerima dari dimiliki oleh 444455556666. queue2 Akun AWS 

{   
   "Version": "2012-10-17",
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Contoh 2: Berikan izin ke satu atau beberapa akun

Contoh berikut kebijakan Amazon SQS memberikan satu atau lebih Akun AWS akses ke antrian yang dimiliki oleh akun Anda untuk jangka waktu tertentu. Penting untuk menulis kebijakan ini dan mengunggahnya ke Amazon SQS menggunakan SetQueueAttributestindakan karena AddPermissiontindakan tidak mengizinkan penetapan batasan waktu saat memberikan akses ke antrian.

{   
   "Version": "2012-10-17",
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Contoh 3: Berikan izin untuk permintaan dari instans Amazon EC2

Contoh berikut kebijakan Amazon SQS memberikan akses ke permintaan yang berasal dari instans Amazon EC2. Contoh ini dibangun di atas contoh Contoh 2: Berikan izin ke satu atau beberapa akun "": membatasi akses sebelum 30 Juni 2009 pukul 12 siang (UTC), ini membatasi akses ke rentang IP. 203.0.113.0/24 Penting untuk menulis kebijakan ini dan mengunggahnya ke Amazon SQS menggunakan SetQueueAttributestindakan karena AddPermissiontindakan tidak mengizinkan penetapan pembatasan alamat IP saat memberikan akses ke antrian.

{   
   "Version": "2012-10-17",
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Contoh 4: Tolak akses ke akun tertentu

Contoh berikut kebijakan Amazon SQS menolak Akun AWS akses tertentu ke antrian Anda. Contoh ini dibangun di atas contoh Contoh 1: Berikan izin ke satu akun "": menolak akses ke yang ditentukan. Akun AWS Penting untuk menulis kebijakan ini dan mengunggahnya ke Amazon SQS menggunakan SetQueueAttributestindakan karena AddPermissiontindakan tidak mengizinkan penolakan akses ke antrian (hanya memungkinkan pemberian akses ke antrian). 

{ 
   "Version": "2012-10-17",
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Contoh 5: Tolak akses jika bukan dari titik akhir VPC

Contoh kebijakan Amazon SQS berikut membatasi akses kequeue1: 111122223333 ReceiveMessagehanya dapat melakukan SendMessagetindakan dan dari ID titik akhir VPC (ditentukan menggunakan kondisi). vpce-1a2b3c4d aws:sourceVpce Untuk informasi selengkapnya, lihat Titik akhir Amazon Virtual Private Cloud untuk Amazon SQS.

catatan

  • aws:sourceVpceKondisi ini tidak memerlukan ARN untuk sumber daya titik akhir VPC, hanya ID titik akhir VPC.

  • Anda dapat memodifikasi contoh berikut untuk membatasi semua tindakan ke titik akhir VPC tertentu dengan menolak semua sqs:* tindakan Amazon SQS () dalam pernyataan kedua. Namun, pernyataan kebijakan tersebut akan menetapkan bahwa semua tindakan (termasuk tindakan administratif yang diperlukan untuk mengubah izin antrian) harus dilakukan melalui titik akhir VPC tertentu yang ditentukan dalam kebijakan, yang berpotensi mencegah pengguna memodifikasi izin antrian di masa mendatang.

{
   "Version": "2012-10-17",
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}