Esempi di Amazon SQS Access Policy Language personalizzati - Amazon Simple Queue Service
Esempio 1: Concedere l'autorizzazione a un accountEsempio 2: Concedere l'autorizzazione a uno o più accountEsempio 3: autorizza le richieste provenienti dalle EC2 istanze AmazonEsempio 4: Negare l'accesso a un account specificoEsempio 5: nega l'accesso se non proviene da un endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di Amazon SQS Access Policy Language personalizzati

Di seguito sono riportati alcuni esempi di politiche di SQS accesso tipiche di Amazon.

Esempio 1: Concedere l'autorizzazione a un account

Il seguente esempio di SQS politica Amazon concede a Account AWS 111122223333 l'autorizzazione a inviare e ricevere da un indirizzo di queue2 proprietà di 444455556666. Account AWS 

{   
   "Version": "2012-10-17",
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Esempio 2: Concedere l'autorizzazione a uno o più account

Il seguente esempio di SQS politica Amazon offre uno o più Account AWS accessi alle code di proprietà del tuo account per un periodo di tempo specifico. È necessario scrivere questa politica e caricarla su Amazon SQS utilizzando l'SetQueueAttributesazione perché l'AddPermissionazione non consente di specificare un limite di tempo per concedere l'accesso a una coda.

{   
   "Version": "2012-10-17",
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Esempio 3: autorizza le richieste provenienti dalle EC2 istanze Amazon

Il seguente esempio di SQS politica Amazon consente di accedere alle richieste che provengono da EC2 istanze Amazon. Questo esempio si basa sull'esempio "Esempio 2: Concedere l'autorizzazione a uno o più account": limita l'accesso a prima del 30 giugno 2009 alle 12:00 (UTC), limita l'accesso all'intervallo IP. 203.0.113.0/24 È necessario scrivere questa politica e caricarla su Amazon SQS utilizzando l'SetQueueAttributesazione perché l'AddPermissionazione non consente di specificare una restrizione dell'indirizzo IP quando si concede l'accesso a una coda.

{   
   "Version": "2012-10-17",
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Esempio 4: Negare l'accesso a un account specifico

Il seguente esempio di SQS politica Amazon nega un Account AWS accesso specifico alla tua coda. Questo esempio si basa sull'esempio "Esempio 1: Concedere l'autorizzazione a un account": nega l'accesso a ciò che è specificato. Account AWSÈ necessario scrivere questa politica e caricarla su Amazon SQS utilizzando l'SetQueueAttributesazione perché l'AddPermissionazione non consente di negare l'accesso a una coda (consente solo di concedere l'accesso a una coda). 

{ 
   "Version": "2012-10-17",
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Esempio 5: nega l'accesso se non proviene da un endpoint VPC

Il seguente esempio di SQS politica di Amazon limita l'accesso aqueue1: 111122223333 può eseguire le ReceiveMessageazioni SendMessageand solo dall'ID dell'VPCendpoint vpce-1a2b3c4d (specificato utilizzando la condizione). aws:sourceVpce Per ulteriori informazioni, consulta Endpoint Amazon Virtual Private Cloud per Amazon SQS.

Nota

  • La aws:sourceVpce condizione non richiede una risorsa ARN per l'VPCendpoint, ma solo l'ID dell'endpoint. VPC

  • Puoi modificare il seguente esempio per limitare tutte le azioni a un VPC endpoint specifico negando tutte SQS le azioni Amazon (sqs:*) nella seconda istruzione. Tuttavia, tale dichiarazione politica stabilirebbe che tutte le azioni (incluse le azioni amministrative necessarie per modificare le autorizzazioni di coda) devono essere eseguite tramite l'VPCendpoint specifico definito nella politica, impedendo potenzialmente all'utente di modificare le autorizzazioni di coda in futuro.

{
   "Version": "2012-10-17",
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}