Amazon 中的互联网流量隐私 SQS - Amazon Simple Queue Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 中的互联网流量隐私 SQS

亚马逊虚拟私有云 (AmazonVPC) 终端节点SQS是其中的一个逻辑实体VPC,它只允许连接到亚马逊SQS。它们会将请求VPC路由到 Amazon SQS 并将响应路由回VPC。以下各节提供有关使用VPC终端节点和创建终VPC端节点策略的信息。

适用于亚马逊的亚马逊 Virtual Private Cloud 终端节点 SQS

如果您使用亚马逊VPC托管您的 Amazon 资源,则可以在您VPC和亚马逊之间建立连接SQS。您可以使用此连接将消息发送到您的 Amazon SQS 队列,而无需通过公共互联网。

Amazon VPC 允许您在自定义虚拟网络中启动 Amazon 资源。您可以使用VPC来控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关的更多信息VPCs,请参阅 Amazon VPC 用户指南

要将您连接VPC到 AmazonSQS,您必须先定义一个接口VPC终端节点,这样您就可以将您的服务VPC连接到其他 Amazon 服务。该终端节点SQS无需互联网网关、网络地址转换 (NAT) 实例或连接,即可提供与 Amazon 的可靠、可扩展的VPN连接。有关更多信息,请参阅本指南示例 5:如果访问不是来自VPC终端节点,则拒绝访问中的教程:从 Amazon Virtual Private Cloud 将消息发送到 Amazon SQS 队列和,以及亚马逊VPC用户指南中的接口VPC终端节点 (Amazon PrivateLink)

重要
  • 您只能在亚马逊SQS终端节点上使用亚马逊 Virtual HTTPS Private Cloud。

  • 当您将 Amazon 配置SQS为从亚马逊发送消息时VPC,必须启用私有功能DNS并按照格式指定终端节点sqs.us-east-2.amazonaws.com

  • Pri DNS vate 不支持旧版端点,例如queue.amazonaws.comus-east-2.queue.amazonaws.com

为亚马逊创建亚马逊VPC终端节点策略 SQS

您可以为亚马逊VPC终端节点创建策略,SQS在其中指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

以下示例VPC终端节点策略指定允许用户MyUser向 Amazon SQS 队列发送消息MyQueue

{ "Statement": [{ "Action": ["sqs:SendMessage"], "Effect": "Allow", "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue", "Principal": { "AWS": "arn:aws:iam:123456789012:user/MyUser" } }] }

以下各项将被拒绝:

  • 其他 Amazon SQS API 操作,例如sqs:CreateQueuesqs:DeleteQueue

  • 尝试使用此VPC端点的其他用户和规则。

  • MyUser向其他 Amazon SQS 队列发送消息。

注意

用户仍然可以在外部使用其他 Amazon SQS API 操作VPC。有关更多信息,请参阅 示例 5:如果访问不是来自VPC终端节点,则拒绝访问