自定义 Amazon SQS 访问策略语言示例 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义 Amazon SQS 访问策略语言示例

以下示例是典型的 Amazon SQS 访问策略。

示例 1:向一个账户授予权限

以下示例 Amazon SQS 策略提供 Amazon Web Services 账户 111122223333 向发送和接收来自的权限queue2归 Amazon Web Services 账户 444455556666.

{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

示例 2:授予权限给一个或多个账户

以下示例 Amazon SQS 策略给出了一个或多个 Amazon Web Services 账户 在特定时间段内访问您的账户所拥有的队列。有必要编写此策 Amazon SQS 用SetQueueAttributes操作,因为AddPermission操作不允许在授予队列访问权限时指定时间限制。

{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }

示例 3:对来自 Amazon EC2 实例的请求授予权限

以下示例 Amazon SQS 策略授予访问来自 Amazon EC2 实例的请求的权限。此示例根据“示例 2:授予权限给一个或多个账户”示例编写:它将访问时间限制在 2009 年 6 月 30 日中午 12 点 (UTC) 之前,将访问 IP 的范围限制在 203.0.113.0/24。有必要编写此策 Amazon SQS 用SetQueueAttributes操作,因为AddPermission操作不允许在授予队列访问权限时指定 IP 地址限制。

{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }

示例 4:拒绝访问特定账户

以下示例 Amazon SQS 策略拒绝特定的 Amazon Web Services 账户 访问队列的权限。此示例建立在”示例 1:向一个账户授予权限” 示例:它拒绝指定的 Amazon Web Services 账户 . 有必要编写此策 Amazon SQS 用SetQueueAttributes操作,因为AddPermission操作不允许拒绝对队列的访问(它只允许授予对队列的访问权限)。

{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }

示例 5:如果不是来自 VPC 终端节点,则拒绝访问

以下示例 Amazon SQS 策略将限制为queue1:111122223333 可以执行SendMessageReceiveMessage仅从 VPC 终端节点 ID 执行的操作vpce-1a2b3c4d(使用指定的aws:sourceVpce条件)。有关更多信息,请参阅Amazon SQS 的 Amazon SQS 的 Amazon Virtual Private Cloud 终端节点

注意
  • aws:sourceVpce 条件不需要 VPC 终端节点资源的 ARN,而只需要 VPC 终端节点 ID。

  • 您可以通过修改以下示例以将所有操作限制到特定 VPC 终端节点,方法是拒绝所有 Amazon SQS 操作 (sqs:*)在第二个语句中。但是,此类策略声明将规定所有操作(包括修改队列权限所需的管理操作)必须通过在策略中定义的特定 VPC 终端节点进行,这可能会阻止用户以后修改队列权限。

{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws::sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws::sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }