Ejemplos de lenguaje de la política de acceso de Amazon SQS personalizada - Amazon Simple Queue Service
Ejemplo 1: conceder permiso a una cuentaEjemplo 2: conceder permiso a una o varias cuentasEjemplo 3: conceder permiso a solicitudes de instancias de Amazon EC2Ejemplo 4: denegar acceso a una cuenta específicaEjemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC

Ejemplos de lenguaje de la política de acceso de Amazon SQS personalizada

A continuación, se muestran algunos ejemplos de políticas de acceso de Amazon SQS típicas.

Ejemplo 1: conceder permiso a una cuenta

En el ejemplo siguiente, la política de Amazon SQS proporciona a la queue2 111122223333 permiso para enviar y recibir información de la cola Cuenta de AWS, que es propiedad de la Cuenta de AWS 444455556666.

JSON
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Ejemplo 2: conceder permiso a una o varias cuentas

La siguiente política de ejemplo de Amazon SQS concede a una o varias Cuentas de AWS acceso a colas que son propiedad de su cuenta durante un período de tiempo específico. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, ya que la acción AddPermission no permite especificar una restricción de tiempo al conceder acceso a una cola.

JSON
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Ejemplo 3: conceder permiso a solicitudes de instancias de Amazon EC2

La siguiente política de ejemplo de Amazon SQS concede acceso a las solicitudes que proceden de instancias de Amazon EC2. Este ejemplo se basa en el ejemplo "Ejemplo 2: conceder permiso a una o varias cuentas": restringe el acceso antes del 30 de junio de 2009 a las 12:00 h (UTC) y al rango de direcciones IP 203.0.113.0/24. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, porque la acción AddPermission no permite especificar una restricción de dirección IP al conceder acceso a una cola.

JSON
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Ejemplo 4: denegar acceso a una cuenta específica

La siguiente política de ejemplo de Amazon SQS deniega a una cuenta específica de Cuenta de AWS el acceso a su cola. Este ejemplo se basa en el ejemplo “Ejemplo 1: conceder permiso a una cuenta”: deniega el acceso a la Cuenta de AWS especificada. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción SetQueueAttributes, ya que la acción AddPermission no permite denegar el acceso a una cola (solo permite conceder acceso a una cola).

JSON
{ 
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Ejemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC

La siguiente política de ejemplo de Amazon SQS restringe el acceso a queue1: 111122223333 puede realizar las acciones SendMessage y ReceiveMessage solo desde el ID vpce-1a2b3c4d del punto de conexión de VPC (especificado mediante la condición aws:sourceVpce). Para obtener más información, consulte Puntos de conexión de Amazon Virtual Private Cloud para Amazon SQS.

nota

  • La condición aws:sourceVpce no requiere un ARN para el recurso de punto de enlace de la VPC, solo el ID de la VPC.

  • Puede modificar el siguiente ejemplo para restringir todas las acciones para un punto de conexión de VPC concreto mediante la denegación de todas las acciones de Amazon SQS (sqs:*) en la segunda instrucción. Sin embargo, una declaración de política de este tipo estipularía que todas las acciones (incluidas las acciones administrativas necesarias para modificar los permisos de cola) deben realizarse a través del punto de enlace de la VPC específico definido en la política, lo que podría impedir al usuario de la cola modificar los permisos en el futuro.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}