Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di sintassi delle policy di accesso di Amazon SQS personalizzata
I seguenti sono esempi tipici di policy di accesso Amazon SQS.
Esempio 1: Concedere l'autorizzazione a un account
La policy Amazon SQS di esempio seguente fornisce all'account Account AWS
l'autorizzazione 111122223333 per inviare e ricevere dalla queue2
di proprietà dell' Account AWS
444455556666.
{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Esempio 2: Concedere l'autorizzazione a uno o più account
Il seguente esempio di policy Amazon SQS fornisce uno o più Account AWS accessi alle code di proprietà del tuo account per un periodo di tempo specifico. È necessario scrivere questa policy e caricarla in Amazon SQS utilizzando l'operazione SetQueueAttributes
perché l'operazione AddPermission
non consente di specificare una limitazione di tempo quando si concede l'accesso a una coda.
{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }
Esempio 3: autorizza le richieste provenienti dalle EC2 istanze Amazon
Il seguente esempio di policy Amazon SQS consente di accedere alle richieste che provengono da istanze Amazon EC2 . Questo esempio si basa sull'esempio "Esempio 2: Concedere l'autorizzazione a uno o più account": limita l'accesso a prima del 30 giugno 2009 alle 12.00 (UTC), limita l'accesso all'intervallo IP 203.0.113.0/24
. È necessario scrivere questa policy e caricarla su Amazon SQS utilizzando l'azione SetQueueAttributes
perché l'azione AddPermission
non consente di specificare una limitazione di indirizzo IP al momento di concedere l'accesso a una coda.
{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }
Esempio 4: Negare l'accesso a un account specifico
Il seguente esempio di policy di Amazon SQS nega un Account AWS accesso specifico alla tua coda. Questo esempio si basa sull'esempio "Esempio 1: Concedere l'autorizzazione a un account": nega l'accesso a ciò che è specificato. Account AWSÈ necessario scrivere questa policy e caricarla in Amazon SQS utilizzando l'operazione SetQueueAttributes
perché l'operazione AddPermission
non consente di negare l'accesso a una coda (concede solo l'accesso a una coda).
{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Esempio 5: Negare l'accesso se non è un endpoint VPC
La seguente policy Amazon SQS di esempio limita l'accesso alla queue1
: 111122223333 può eseguire le azioni SendMessage
e ReceiveMessage
solo dall'ID dell'endpoint VPC vpce-1a2b3c4d
(specificato usando la condizione aws:sourceVpce
). Per ulteriori informazioni, consulta Endpoint di Amazon Virtual Private Cloud per Amazon SQS.
Nota
-
La condizione
aws:sourceVpce
non richiede un ARN per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint VPC. -
Puoi modificare l'esempio che segue per limitare tutte le operazioni per un determinato endpoint VPC negando tutte le operazioni Amazon SQS (
sqs:*
) nella seconda istruzione. Tuttavia, questa istruzione della policy stabilisce che tutte le operazioni (comprese le operazioni amministrative necessarie per modificare le autorizzazioni della coda) devono essere eseguite tramite l'endpoint VPC specifico definito nella policy, impedendo potenzialmente all'utente di modificare successivamente le autorizzazioni della coda.
{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }