Exemplos básicos de políticas do Amazon SQS - Amazon Simple Queue Service
Exemplo 1: Conceder uma permissão a uma Conta da AWSExemplo 2: Conceder duas permissões a uma Conta da AWSExemplo 3: Conceder todas as permissões a duas Contas da AWSExemplo 4: conceder permissões entre contas a um perfil e um nome de usuárioExemplo 5: conceder uma permissão a todos os usuáriosExemplo 6: conceder uma permissão de tempo limitado a todos os usuáriosExemplo 7: conceder todas as permissões a todos os usuários em um intervalo CIDRExemplo 8: lista de permissões e lista de bloqueios para usuários em diferentes intervalos CIDR

Exemplos básicos de políticas do Amazon SQS

Esta seção mostra exemplos de políticas para casos de uso comuns do Amazon SQS.

Você pode usar o console para verificar os efeitos de cada política à medida que anexa a política ao usuário. Inicialmente, o usuário não tem permissões e, portanto, não poderá fazer nada no console. À medida que você anexar políticas ao usuário, poderá verificar se o usuário pode executar várias ações no console.

nota

Recomendamos usar duas janelas do navegador: uma para conceder as permissões e a outra para fazer login no Console de gerenciamento da AWS usando as credenciais do usuário para verificar as permissões conforme forem concedidas ao usuário.

Exemplo 1: Conceder uma permissão a uma Conta da AWS

O exemplo de política a seguir concede à Conta da AWS número 111122223333 a permissão SendMessage para a fila chamada 444455556666/queue1 na região Leste dos EUA (Ohio).

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_SendMessage",
      "Effect": "Allow",
      "Principal": {
         "AWS": [ 
            "111122223333"
         ]
      },
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
   }]  
}

Exemplo 2: Conceder duas permissões a uma Conta da AWS

A política de exemplo a seguir concede à Conta da AWS número 111122223333 as permissões SendMessage e ReceiveMessage para a fila denominada 444455556666/queue1.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_Send_Receive",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
      "Resource": "arn:aws:sqs:*:444455556666:queue1"
   }]
}

Exemplo 3: Conceder todas as permissões a duas Contas da AWS

O exemplo de política a seguir concede a duas Contas da AWS com números diferentes (111122223333 e 444455556666) permissão para usar todas as ações às quais o Amazon SQS permite acesso compartilhado para a fila denominada 123456789012/queue1 na região Leste dos EUA (Ohio).

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}

Exemplo 4: conceder permissões entre contas a um perfil e um nome de usuário

O exemplo de política a seguir concede a role1 e username1 na Conta da AWS número 111122223333 permissão entre contas para usar todas as ações às quais o Amazon SQS permite acesso compartilhado para a fila denominada 123456789012/queue1 na região Leste dos EUA (Ohio).

As permissões entre contas não se aplicam às seguintes ações:

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "arn:aws:iam::111122223333:role/role1",
            "arn:aws:iam::111122223333:user/username1"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}

Exemplo 5: conceder uma permissão a todos os usuários

O exemplo de política a seguir concede a todos os usuários (anônimos) a permissão ReceiveMessage para a fila denominada 111122223333/queue1.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1"
   }]
}

Exemplo 6: conceder uma permissão de tempo limitado a todos os usuários

O exemplo de política a seguir concede a todos os usuários (anônimos) a permissão ReceiveMessage para a fila denominada 111122223333/queue1, mas apenas das 12h (meio dia) às 15h em 31 de janeiro de 2009.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "DateGreaterThan" : {
            "aws:CurrentTime":"2009-01-31T12:00Z"
         },
         "DateLessThan" : {
            "aws:CurrentTime":"2009-01-31T15:00Z"
         }
      }
   }]
}

Exemplo 7: conceder todas as permissões a todos os usuários em um intervalo CIDR

A política de exemplo a seguir concede a todos os usuários (anônimos) permissão para usar todas as ações possíveis do Amazon SQS que podem ser compartilhadas para a fila denominada 111122223333/queue1, mas somente se a solicitação vier do intervalo CIDR 192.0.2.0/24.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         }
      }
   }]
}

Exemplo 8: lista de permissões e lista de bloqueios para usuários em diferentes intervalos CIDR

O exemplo de política a seguir contém duas instruções:

  • A primeira instrução concede a todos os usuários (anônimos) no intervalo 192.0.2.0/24 CIDR (exceto para 192.0.2.188) permissão para usar a ação SendMessage para a fila denominada 111122223333/queue1.

  • A segunda instrução impede que todos os usuários (anônimos) no intervalo CIDR 12.148.72.0/23 usem a fila.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         },
         "NotIpAddress" : {
            "aws:SourceIp":"192.0.2.188/32"
         }
      }
   }, {
      "Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"12.148.72.0/23"
         }
      }
   }]
}