Ejemplos de lenguaje de la política de acceso de Amazon SQS personalizada - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de lenguaje de la política de acceso de Amazon SQS personalizada

A continuación, se muestran algunos ejemplos de políticas de acceso de Amazon SQS típicas.

Ejemplo 1: conceder permiso a una cuenta

En el ejemplo siguiente, la política de Amazon SQS proporciona a la queue2 111122223333 permiso para enviar y recibir información de la cola Cuenta de AWS, que es propiedad de la Cuenta de AWS 444455556666.

{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

Ejemplo 2: conceder permiso a una o varias cuentas

La siguiente política de ejemplo de Amazon SQS concede a una o varias Cuentas de AWS acceso a colas que son propiedad de su cuenta durante un período de tiempo específico. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, ya que la acción AddPermission no permite especificar una restricción de tiempo al conceder acceso a una cola.

{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }

Ejemplo 3: conceder permiso a solicitudes de instancias de Amazon EC2

La siguiente política de ejemplo de Amazon SQS concede acceso a las solicitudes que proceden de instancias de Amazon EC2. Este ejemplo se basa en el ejemplo "Ejemplo 2: conceder permiso a una o varias cuentas": restringe el acceso antes del 30 de junio de 2009 a las 12:00 h (UTC) y al rango de direcciones IP 203.0.113.0/24. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, porque la acción AddPermission no permite especificar una restricción de dirección IP al conceder acceso a una cola.

{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }

Ejemplo 4: denegar acceso a una cuenta específica

La siguiente política de ejemplo de Amazon SQS deniega a una cuenta específica de Cuenta de AWS el acceso a su cola. Este ejemplo se basa en el ejemplo “Ejemplo 1: conceder permiso a una cuenta”: deniega el acceso a la Cuenta de AWS especificada. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, ya que la acción AddPermission no permite denegar el acceso a una cola (solo permite conceder acceso a una cola).

{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

Ejemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC

La siguiente política de ejemplo de Amazon SQS restringe el acceso a queue1: 111122223333 puede realizar las acciones SendMessage y ReceiveMessage solo desde el ID vpce-1a2b3c4d del punto de conexión de VPC (especificado mediante la condición aws:sourceVpce). Para obtener más información, consulte Puntos de conexión de Amazon Virtual Private Cloud para Amazon SQS.

nota
  • La condición aws:sourceVpce no requiere un ARN para el recurso de punto de enlace de la VPC, solo el ID de la VPC.

  • Puede modificar el siguiente ejemplo para restringir todas las acciones para un punto de conexión de VPC concreto mediante la denegación de todas las acciones de Amazon SQS (sqs:*) en la segunda instrucción. Sin embargo, una declaración de política de este tipo estipularía que todas las acciones (incluidas las acciones administrativas necesarias para modificar los permisos de cola) deben realizarse a través del punto de enlace de la VPC específico definido en la política, lo que podría impedir al usuario de la cola modificar los permisos en el futuro.

{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }