Amazon 中的互联网流量隐私 SQS - Amazon Simple Queue Service
VPC端点创建VPC终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 中的互联网流量隐私 SQS

亚马逊虚拟私有云 (AmazonVPC) 终端节点SQS是其中的一个逻辑实体VPC,它只允许连接到亚马逊SQS。它们会将请求VPC路由到 Amazon SQS 并将响应路由回VPC。以下各节提供有关使用VPC终端节点和创建终VPC端节点策略的信息。

适用于亚马逊的亚马逊 Virtual Private Cloud 终端节点 SQS

如果您使用 Amazon VPC 托管您的 Amazon 资源,您可以在您VPC和 Amazon 之间建立连接SQS。您可以使用此连接将消息发送到您的 Amazon SQS 队列,而无需通过公共互联网。

亚马逊VPC允许你启动 Amazon 自定义虚拟网络中的资源。您可以使用VPC来控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关的更多信息VPCs,请参阅 Amazon VPC 用户指南

要将您连接VPC到 AmazonSQS,您必须先定义一个接口VPC终端节点,这样您就可以将自己的接口终端节点VPC连接到其他终端节点 Amazon 服务的支持。该终端节点SQS无需互联网网关、网络地址转换 (NAT) 实例或连接,即可提供与 Amazon 的可靠、可扩展的VPN连接。有关更多信息,请参阅本指南示例 5:如果访问不是来自VPC终端节点,则拒绝访问中的教程:从 Amazon Virtual Private Cloud 将消息发送到 Amazon SQS 队列和以及接口VPC终端节点 (Amazon PrivateLink) 在《亚马逊VPC用户指南》中。

重要

  • 您只能在亚马逊SQS终端节点上使用亚马逊 Virtual HTTPS Private Cloud。

  • 当您将 Amazon 配置SQS为从亚马逊发送消息时VPC,必须启用私有功能DNS并按照格式指定终端节点sqs.us-east-2.amazonaws.com

  • Pri DNS vate 不支持旧版端点,例如queue.amazonaws.comus-east-2.queue.amazonaws.com

为亚马逊创建亚马逊VPC终端节点策略 SQS

您可以为亚马逊VPC终端节点创建策略,SQS在其中指定以下内容:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问

以下示例VPC终端节点策略指定允许用户MyUser向 Amazon SQS 队列发送消息MyQueue

{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}

以下各项将被拒绝:

  • 其他 Amazon SQS API 操作,例如sqs:CreateQueuesqs:DeleteQueue

  • 尝试使用此VPC端点的其他用户和规则。

  • MyUser向其他 Amazon SQS 队列发送消息。

注意

用户仍然可以在外部使用其他 Amazon SQS API 操作VPC。有关更多信息,请参阅 示例 5:如果访问不是来自VPC终端节点,则拒绝访问