Internetwork traffic privacy - Amazon Simple Queue Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Internetwork traffic privacy

Amazon SQS 的 Amazon Virtual Private Cloud (Amazon VPC) 终端节点是 VPC 内的一种逻辑实体,只允许连接到 Amazon SQS。VPC 将请求路由到 Amazon SQS 并将响应路由回 VPC。以下部分提供有关使用 VPC 终端节点和创建 VPC 终端节点策略的信息。

Amazon Virtual Private Cloud endpoints for Amazon SQS

如果使用 Amazon VPC 托管 AWS 资源,则可以在 VPC 和 Amazon SQS 之间建立连接。您可以使用此连接将消息发送到 Amazon SQS 队列,而无需跨公共 Internet。

Amazon VPC 允许您在自定义的虚拟网络中启动 AWS 资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅 Amazon VPC 用户指南

将VPC连接到 Amazon SQS,您必须先定义 interface VPC endpoint,可让您将VPC连接到其他 AWS 服务。该终端节点提供了到 Amazon SQS 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换 (NAT) 实例或 VPN 连接。有关详细信息,请参阅 Tutorial: Sending a message to an Amazon SQS queue from Amazon Virtual Private CloudExample 5: Deny access if it isn't from a VPC endpoint 在本指南和 接口VPC端点(AWSPrivatElink)Amazon VPC 用户指南.

重要
  • 您只能将 Amazon Virtual Private Cloud 与 HTTPS Amazon SQS 终端节点一起使用。

  • 在将 Amazon SQS 配置为从 Amazon VPC 发送消息时,必须启用私有 DNS,并且仅按 sqs.us-east-2.amazonaws.com 格式指定终端节点。

  • 私有 DNS 不支持传统终端节点,例如 queue.amazonaws.comus-east-2.queue.amazonaws.com

Creating an Amazon VPC endpoint policy for Amazon SQS

您可以为 Amazon SQS 的 Amazon VPC 终端节点创建一个策略,可在该策略中指定:

  • The principal that can perform actions.

  • The actions that can be performed.

  • The resources on which actions can be performed.

有关详细信息,请参阅 控制对VPC端点服务的访问Amazon VPC 用户指南

以下 VPC 终端节点策略示例指定允许 IAM 用户 MyUser 将消息发送到 Amazon SQS 队列 MyQueue

{ "Statement": [{ "Action": ["sqs:SendMessage"], "Effect": "Allow", "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue", "Principal": { "AWS": "arn:aws:iam:123456789012:user/MyUser" } }] }

以下各项将被拒绝:

  • Other Amazon SQS API actions, such as sqs:CreateQueue and sqs:DeleteQueue.

  • Other IAM users and rules which attempt to use this VPC endpoint.

  • MyUser sending messages to a different Amazon SQS queue.

注意

TheThethe IAM 用户仍可使用其他 Amazon SQS API操作 outside VPC。有关更多信息,请参阅 Example 5: Deny access if it isn't from a VPC endpoint。)