As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos básicos de SQS políticas da Amazon
Esta seção mostra exemplos de políticas para casos de SQS uso comuns da Amazon.
Você pode usar o console para verificar os efeitos de cada política à medida que anexa a política ao usuário. Inicialmente, o usuário não tem permissões e, portanto, não poderá fazer nada no console. À medida que você anexar políticas ao usuário, poderá verificar se o usuário pode executar várias ações no console.
nota
Recomendamos que você use duas janelas do navegador: uma para conceder permissões e outra para fazer login AWS Management Console usando as credenciais do usuário para verificar as permissões à medida que você as concede ao usuário.
Exemplo 1: Conceder uma permissão a um Conta da AWS
O exemplo de política a seguir Conta da AWS concede 111122223333 ao número a SendMessage permissão para a fila nomeada 444455556666/queue1 na região Leste dos EUA (Ohio).
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" }] }
Exemplo 2: conceder duas permissões a uma Conta da AWS
O exemplo de política a seguir Conta da AWS concede o número 111122223333 SendMessage e a ReceiveMessage permissão para a fila nomeada444455556666/queue1.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_Send_Receive", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:444455556666:queue1" }] }
Exemplo 3: Conceder todas as permissões a dois Contas da AWS
O exemplo de política a seguir concede dois Contas da AWS números diferentes (111122223333e444455556666) permissão para usar todas as ações às quais a Amazon SQS permite acesso compartilhado para a fila nomeada 123456789012/queue1 na região Leste dos EUA (Ohio).
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AllActions", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1" }] }
Exemplo 4: conceder permissões entre contas a um perfil e um nome de usuário
O exemplo de política a seguir concede role1 e, username1 sob Conta da AWS número, permissão 111122223333 entre contas para usar todas as ações às quais a Amazon SQS permite acesso compartilhado para a fila nomeada 123456789012/queue1 na região Leste dos EUA (Ohio).
As permissões entre contas não se aplicam às seguintes ações:
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AllActions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/role1", "arn:aws:iam::111122223333:user/username1" ] }, "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1" }] }
Exemplo 5: conceder uma permissão a todos os usuários
O exemplo de política a seguir concede a todos os usuários (anônimos) a permissão ReceiveMessage para a fila denominada 111122223333/queue1.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_ReceiveMessage", "Effect": "Allow", "Principal": "*", "Action": "sqs:ReceiveMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1" }] }
Exemplo 6: conceder uma permissão de tempo limitado a todos os usuários
O exemplo de política a seguir concede a todos os usuários (anônimos) a permissão ReceiveMessage para a fila denominada 111122223333/queue1, mas apenas das 12h (meio dia) às 15h em 31 de janeiro de 2009.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit", "Effect": "Allow", "Principal": "*", "Action": "sqs:ReceiveMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "DateGreaterThan" : { "aws:CurrentTime":"2009-01-31T12:00Z" }, "DateLessThan" : { "aws:CurrentTime":"2009-01-31T15:00Z" } } }] }
Exemplo 7: conceder todas as permissões a todos os usuários em um CIDR intervalo
O exemplo de política a seguir concede a todos os usuários (usuários anônimos) permissão para usar todas SQS as ações possíveis da Amazon que podem ser compartilhadas para a fila nomeada111122223333/queue1, mas somente se a solicitação vier do 192.0.2.0/24 CIDR intervalo.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP", "Effect": "Allow", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"192.0.2.0/24" } } }] }
Exemplo 8: Permissões de lista de permissões e listas de bloqueio para usuários em diferentes faixas CIDR
O exemplo de política a seguir contém duas instruções:
-
A primeira instrução concede a todos os usuários (usuários anônimos) no
192.0.2.0/24CIDR intervalo (exceto192.0.2.188) permissão para usar aSendMessageação para a fila chamada /queue1.111122223333 -
A segunda instrução impede que todos os usuários (usuários anônimos) na
12.148.72.0/23CIDR faixa usem a fila.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit", "Effect": "Allow", "Principal": "*", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp":"192.0.2.188/32" } } }, { "Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny", "Effect": "Deny", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"12.148.72.0/23" } } }] }
