Menggunakan Konsol Manajemen AWS Menggunakan AWS CloudFormation

Membuat pengguna IAM dan antrian Amazon SQS

Contoh berikut menjelaskan cara membuat kebijakan ABAC untuk mengontrol akses ke Amazon SQS menggunakan Konsol Manajemen AWS dan. CloudFormation

Menggunakan Konsol Manajemen AWS

Buat pengguna IAM

Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Pilih Pengguna dari panel navigasi kiri.
Pilih Tambah Pengguna dan masukkan nama di kotak teks Nama pengguna.
Pilih tombol Akses - kotak Akses terprogram dan pilih Berikutnya:Izin.
Pilih Selanjutnya: Tag.
Tambahkan kunci tag sebagai environment dan nilai tag sebagaibeta.
Pilih Berikutnya:Tinjau dan kemudian pilih Buat pengguna.
Salin dan simpan ID kunci akses dan kunci akses rahasia di lokasi yang aman.

Tambahkan izin pengguna IAM

Pilih pengguna IAM yang Anda buat.
Pilih Tambahkan kebijakan inline.
Pada tab JSON, tempel kebijakan berikut:
Pilih Tinjau kebijakan.
Pilih Buat kebijakan.

Menggunakan AWS CloudFormation

Gunakan contoh CloudFormation template berikut untuk membuat pengguna IAM dengan kebijakan inline yang dilampirkan dan antrean Amazon SQS:


AWSTemplateFormatVersion: "2010-09-09"
Description: "CloudFormation template to create IAM user with custom inline policy"
Resources:
    IAMPolicy:
        Type: "AWS::IAM::Policy"
        Properties:
            PolicyDocument: |
                {
                    "Version": "2012-10-17",		 	 	 
                    "Statement": [
                        {
                            "Sid": "AllowAccessForSameResTag",
                            "Effect": "Allow",
                            "Action": [
                                "sqs:SendMessage",
                                "sqs:ReceiveMessage",
                                "sqs:DeleteMessage"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "StringEquals": {
                                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                                }
                            }
                        },
                        {
                            "Sid": "AllowAccessForSameReqTag",
                            "Effect": "Allow",
                            "Action": [
                                "sqs:CreateQueue",
                                "sqs:DeleteQueue",
                                "sqs:SetQueueAttributes",
                                "sqs:tagqueue"
                            ],
                            "Resource": "*",
                            "Condition": {
                                "StringEquals": {
                                    "aws:RequestTag/environment": "${aws:PrincipalTag/environment}"
                                }
                            }
                        },
                        {
                            "Sid": "DenyAccessForProd",
                            "Effect": "Deny",
                            "Action": "sqs:*",
                            "Resource": "*",
                            "Condition": {
                                "StringEquals": {
                                    "aws:ResourceTag/stage": "prod"
                                }
                            }
                        }
                    ]
                }
                
            Users: 
              - "testUser"
            PolicyName: tagQueuePolicy

    IAMUser:
        Type: "AWS::IAM::User"
        Properties:
            Path: "/"
            UserName: "testUser"
            Tags: 
              - 
                Key: "environment"
                Value: "beta"

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penandaan untuk kontrol akses

Menguji kontrol akses berbasis atribut