互联网络流量隐私 - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

互联网络流量隐私

Amazon SQS 的 Amazon Virtual Private Cloud 终端节点是 VPC 内的逻辑实体,仅允许连接到 Amazon SQS。VPC 将请求路由到 Amazon SQS 并将响应路由回 VPC。以下部分提供有关使用 VPC 终端节点和创建 VPC 终端节点策略的信息。

Amazon SQS 的 Amazon SQS 的 Amazon Virtual Private Cloud 终端节点

如果您使用 Amazon VPC 托管Amazon资源,您可以在 VPC 和 Amazon SQS 之间建立连接。您可以利用此连接将消息发送到 Amazon SQS 队列,而无需跨越公共 Internet。

亚马逊 VPC 允许您启动Amazon自定义虚拟网络中的资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅Amazon VPC User Guide.

要将 VPC 连接到 Amazon SQS,您必须首先定义接口 VPC 终端节点,它允许您将 VPC 连接到其他Amazon服务。该终端节点提供了到 Amazon SQS 的可靠、可扩展的连接,无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接。有关更多信息,请参阅 。教程:从 Amazon 虚拟私有云向 Amazon SQS 队列发送消息示例 5:如果不是来自 VPC 终端节点,则拒绝访问接口 VPC 终端节点 ( Amazon PrivateLink )中的Amazon VPC User Guide.

重要
  • 您只能将 Amazon Virtual Private Cloud 与 HTTPS Amazon SQS 终端节点结合使用。

  • 如果将 Amazon SQS 配置为从 Amazon VPC 发送消息,则必须启用私有 DNS 并且采用sqs.us-east-2.amazonaws.com.

  • 私有 DNS 不支持传统终端节点,例如 queue.amazonaws.comus-east-2.queue.amazonaws.com

为 Amazon SQS 创建 Amazon VPC 终端节点策略

您可以为 Amazon SQS 的 Amazon VPC 终端节点创建一个策略,在该策略中可以指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 。使用 VPC 终端节点控制对服务的访问中的Amazon VPC User Guide

以下 VPC 终端节点策略示例指定 IAM 用户MyUser允许向 Amazon SQS 队列发送消息MyQueue.

{ "Statement": [{ "Action": ["sqs:SendMessage"], "Effect": "Allow", "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue", "Principal": { "AWS": "arn:aws:iam:123456789012:user/MyUser" } }] }

以下各项将被拒绝:

  • 其他 Amazon SQS API 操作,例如sqs:CreateQueuesqs:DeleteQueue.

  • 尝试使用此 VPC 终端节点的 IAM 用户和规则。

  • MyUser将消息发送至不同的 Amazon SQS 队列。

注意

IAM 用户仍然可以使用VPC。有关更多信息,请参阅示例 5:如果不是来自 VPC 终端节点,则拒绝访问