Exemplos personalizados de linguagem de política de SQS acesso da Amazon - Amazon Simple Queue Service
Exemplo 1: conceder permissão a uma contaExemplo 2: conceder permissão a uma ou mais contasExemplo 3: dê permissão para solicitações de EC2 instâncias da AmazonExemplo 4: negar acesso a uma conta específicaExemplo 5: negar acesso se não for de um VPC endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos personalizados de linguagem de política de SQS acesso da Amazon

Veja a seguir exemplos de políticas de SQS acesso típicas da Amazon.

Exemplo 1: conceder permissão a uma conta

O seguinte exemplo de SQS política da Amazon fornece Conta da AWS 111122223333 permissão para enviar e receber de propriedade de queue2 Conta da AWS 44455556666.

{   
   "Version": "2012-10-17",
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Exemplo 2: conceder permissão a uma ou mais contas

O exemplo a seguir, a SQS política da Amazon fornece uma ou mais Contas da AWS acesso às filas pertencentes à sua conta por um período específico. É necessário escrever essa política e enviá-la para a Amazon SQS usando a SetQueueAttributesação porque a AddPermissionação não permite especificar uma restrição de tempo ao conceder acesso a uma fila.

{   
   "Version": "2012-10-17",
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Exemplo 3: dê permissão para solicitações de EC2 instâncias da Amazon

O exemplo de SQS política da Amazon a seguir dá acesso a solicitações provenientes de EC2 instâncias da Amazon. Este exemplo se baseia no exemplo "Exemplo 2: conceder permissão a uma ou mais contas": ele restringe o acesso antes de 30 de junho de 2009 às 12 horas (UTC) e restringe o acesso ao intervalo de IP. 203.0.113.0/24 É necessário escrever essa política e enviá-la para a Amazon SQS usando a SetQueueAttributesação porque a AddPermissionação não permite especificar uma restrição de endereço IP ao conceder acesso a uma fila.

{   
   "Version": "2012-10-17",
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Exemplo 4: negar acesso a uma conta específica

O exemplo a seguir, a SQS política da Amazon nega uma política específica Conta da AWS acesso à sua fila. Este exemplo se baseia no exemplo "Exemplo 1: conceder permissão a uma conta": ele nega acesso ao especificado Conta da AWS. É necessário escrever essa política e enviá-la para a Amazon SQS usando a SetQueueAttributesação porque a AddPermissionação não permite negar acesso a uma fila (ela permite somente conceder acesso a uma fila). 

{ 
   "Version": "2012-10-17",
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Exemplo 5: negar acesso se não for de um VPC endpoint

O seguinte exemplo de SQS política da Amazon restringe o acesso aqueue1: 111122223333 pode realizar ReceiveMessageas ações SendMessagee somente a partir do ID do VPC endpoint (especificado usando a condição). vpce-1a2b3c4d aws:sourceVpce Para obter mais informações, consulte Endpoints da Amazon Virtual Private Cloud para Amazon SQS.

nota

  • A aws:sourceVpce condição não exige um ARN para o recurso do VPC endpoint, apenas o ID do VPC endpoint.

  • Você pode modificar o exemplo a seguir para restringir todas as ações a um VPC endpoint específico negando todas SQS as ações da Amazon (sqs:*) na segunda declaração. No entanto, essa declaração de política estipularia que todas as ações (incluindo ações administrativas necessárias para modificar as permissões da fila) devem ser feitas por meio do VPC endpoint específico definido na política, potencialmente impedindo que o usuário modifique as permissões da fila no futuro.

{
   "Version": "2012-10-17",
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}