Esempi di sintassi delle policy di accesso di Amazon SQS personalizzata - Amazon Simple Queue Service
Esempio 1: Concedere l'autorizzazione a un accountEsempio 2: Concedere l'autorizzazione a uno o più accountEsempio 3: autorizza le richieste provenienti dalle EC2 istanze AmazonEsempio 4: Negare l'accesso a un account specificoEsempio 5: Negare l'accesso se non è un endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di sintassi delle policy di accesso di Amazon SQS personalizzata

I seguenti sono esempi tipici di policy di accesso Amazon SQS.

Esempio 1: Concedere l'autorizzazione a un account

La policy Amazon SQS di esempio seguente fornisce all'account Account AWS l'autorizzazione 111122223333 per inviare e ricevere dalla queue2 di proprietà dell' Account AWS 444455556666.

{   
   "Version": "2012-10-17",
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Esempio 2: Concedere l'autorizzazione a uno o più account

Il seguente esempio di policy Amazon SQS fornisce uno o più Account AWS accessi alle code di proprietà del tuo account per un periodo di tempo specifico. È necessario scrivere questa policy e caricarla in Amazon SQS utilizzando l'operazione SetQueueAttributes perché l'operazione AddPermission non consente di specificare una limitazione di tempo quando si concede l'accesso a una coda.

{   
   "Version": "2012-10-17",
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Esempio 3: autorizza le richieste provenienti dalle EC2 istanze Amazon

Il seguente esempio di policy Amazon SQS consente di accedere alle richieste che provengono da istanze Amazon EC2 . Questo esempio si basa sull'esempio "Esempio 2: Concedere l'autorizzazione a uno o più account": limita l'accesso a prima del 30 giugno 2009 alle 12.00 (UTC), limita l'accesso all'intervallo IP 203.0.113.0/24. È necessario scrivere questa policy e caricarla su Amazon SQS utilizzando l'azione SetQueueAttributes perché l'azione AddPermission non consente di specificare una limitazione di indirizzo IP al momento di concedere l'accesso a una coda.

{   
   "Version": "2012-10-17",
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Esempio 4: Negare l'accesso a un account specifico

Il seguente esempio di policy di Amazon SQS nega un Account AWS accesso specifico alla tua coda. Questo esempio si basa sull'esempio "Esempio 1: Concedere l'autorizzazione a un account": nega l'accesso a ciò che è specificato. Account AWSÈ necessario scrivere questa policy e caricarla in Amazon SQS utilizzando l'operazione SetQueueAttributes perché l'operazione AddPermission non consente di negare l'accesso a una coda (concede solo l'accesso a una coda). 

{ 
   "Version": "2012-10-17",
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Esempio 5: Negare l'accesso se non è un endpoint VPC

La seguente policy Amazon SQS di esempio limita l'accesso alla queue1: 111122223333 può eseguire le azioni SendMessage e ReceiveMessage solo dall'ID dell'endpoint VPC vpce-1a2b3c4d (specificato usando la condizione aws:sourceVpce). Per ulteriori informazioni, consulta Endpoint di Amazon Virtual Private Cloud per Amazon SQS.

Nota

  • La condizione aws:sourceVpce non richiede un ARN per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint VPC.

  • Puoi modificare l'esempio che segue per limitare tutte le operazioni per un determinato endpoint VPC negando tutte le operazioni Amazon SQS (sqs:*) nella seconda istruzione. Tuttavia, questa istruzione della policy stabilisce che tutte le operazioni (comprese le operazioni amministrative necessarie per modificare le autorizzazioni della coda) devono essere eseguite tramite l'endpoint VPC specifico definito nella policy, impedendo potenzialmente all'utente di modificare successivamente le autorizzazioni della coda.

{
   "Version": "2012-10-17",
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}