本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 中的互联网流量隐私 SQS
亚马逊虚拟私有云 (AmazonVPC) 终端节点SQS是其中的一个逻辑实体VPC,它只允许连接到亚马逊SQS。它们会将请求VPC路由到 Amazon SQS 并将响应路由回VPC。以下各节提供有关使用VPC终端节点和创建终VPC端节点策略的信息。
适用于亚马逊的亚马逊 Virtual Private Cloud 终端节点 SQS
如果您使用亚马逊VPC托管您的 Amazon 资源,则可以在您VPC和亚马逊之间建立连接SQS。您可以使用此连接将消息发送到您的 Amazon SQS 队列,而无需通过公共互联网。
Amazon VPC 允许您在自定义虚拟网络中启动 Amazon 资源。您可以使用VPC来控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关的更多信息VPCs,请参阅 Amazon VPC 用户指南。
要将您连接VPC到 AmazonSQS,您必须先定义一个接口VPC终端节点,这样您就可以将您的服务VPC连接到其他 Amazon 服务。该终端节点SQS无需互联网网关、网络地址转换 (NAT) 实例或连接,即可提供与 Amazon 的可靠、可扩展的VPN连接。有关更多信息,请参阅本指南示例 5:如果访问不是来自VPC终端节点,则拒绝访问中的教程:从 Amazon Virtual Private Cloud 将消息发送到 Amazon SQS 队列和,以及亚马逊VPC用户指南中的接口VPC终端节点 (Amazon PrivateLink)。
重要
-
您只能在亚马逊SQS终端节点上使用亚马逊 Virtual HTTPS Private Cloud。
-
当您将 Amazon 配置SQS为从亚马逊发送消息时VPC,必须启用私有功能DNS并按照格式指定终端节点
sqs.
。us-east-2
.amazonaws.com -
Pri DNS vate 不支持旧版端点,例如
queue.amazonaws.com
或
。us-east-2
.queue.amazonaws.com
为亚马逊创建亚马逊VPC终端节点策略 SQS
您可以为亚马逊VPC终端节点创建策略,SQS在其中指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问
以下示例VPC终端节点策略指定允许用户MyUser
向 Amazon SQS 队列发送消息MyQueue
。
{ "Statement": [{ "Action": ["sqs:SendMessage"], "Effect": "Allow", "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue", "Principal": { "AWS": "arn:aws:iam:123456789012:user/MyUser" } }] }
以下各项将被拒绝:
-
其他 Amazon SQS API 操作,例如
sqs:CreateQueue
和sqs:DeleteQueue
。 -
尝试使用此VPC端点的其他用户和规则。
-
MyUser
向其他 Amazon SQS 队列发送消息。
注意
用户仍然可以在外部使用其他 Amazon SQS API 操作VPC。有关更多信息,请参阅 示例 5:如果访问不是来自VPC终端节点,则拒绝访问。