本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon SQS 中的網際網路流量隱私權
適用於 Amazon SQS 的 Amazon Virtual Private Cloud (Amazon VPC) 端點是 VPC 中的邏輯實體,僅允許連線到 Amazon SQS。VPC 會將請求路由至 Amazon SQS,並將回應路由回 VPC。以下各節提供使用 VPC 端點以及建立 VPC 端點政策的相關資訊。
適用於 Amazon SQS 的 Amazon Virtual Private Cloud 端點
如果您使用 Amazon VPC 託管 AWS 資源,您可以在 VPC 和 Amazon SQS 之間建立連線。您可以使用此連線來將訊息傳送至 Amazon SQS 佇列,而不超過公有網際網路。
Amazon VPC 可讓您在自訂虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。如需有關 Amazon VPC 的詳細資訊,請參閱《Amazon VPC 使用者指南》。
若要將 VPC 連接至 Amazon SQS,您必須先定義介面 VPC 端點,其可讓您將 VPC 連接至其他 AWS 服務。端點能為 Amazon SQS 提供可靠、可擴展性的連線,無須使用網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連接。如需詳細資訊,請參閱本指南中的 教學:從 Amazon Virtual Private Cloud 將訊息傳送到 Amazon SQS 佇列 和 範例 5:如果不是來自 VPC 端點,則拒絕存取,以及《Amazon VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)。
重要
-
Amazon 虛擬私有雲端只能搭配 HTTPS Amazon SQS 端點使用。
-
若您設定 Amazon SQS 從 Amazon VPC 傳送訊息,則必須啟用私有 DNS 並使用
sqs.格式指定端點。us-east-2.amazonaws.com -
私有 DNS 不支援
queue.amazonaws.com或us-east-2.queue.amazonaws.com
為 Amazon SQS 建立 VPC 端點政策
您可以為 Amazon SQS 的 Amazon VPC 端點建立政策,在其中您可以指定以下內容:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取。
以下範例 VPC 端點政策指定允許使用者 MyUser 傳送訊息到 Amazon SQS 佇列 MyQueue。
{ "Statement": [{ "Action": ["sqs:SendMessage"], "Effect": "Allow", "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue", "Principal": { "AWS": "arn:aws:iam:123456789012:user/MyUser" } }] }
拒絕以下各項:
-
其他 Amazon SQS API 動作,例如
sqs:CreateQueue和sqs:DeleteQueue。 -
其他嘗試使用此 VPC 端點的 使用者和規則。
-
MyUser傳送訊息至不同的 Amazon SQS 佇列。
注意
IAM 使用者仍然可以從外部 VPC 使用其他 Amazon SQS API 動作。如需詳細資訊,請參閱 範例 5:如果不是來自 VPC 端點,則拒絕存取。
