Exemplo 1: conceder permissão a uma conta Exemplo 2: conceder permissão a uma ou mais contas Exemplo 3: dê permissão para solicitações de EC2 instâncias da Amazon Exemplo 4: negar acesso a uma conta específica Exemplo 5: negar o acesso se não vier de um VPC endpoint

Exemplos de linguagem de políticas de acesso do Amazon SQS personalizadas

Os seguintes são exemplos de políticas de acesso típicas do Amazon SQS.

Exemplo 1: conceder permissão a uma conta

O exemplo de política do Amazon SQS a seguir concede à Conta da AWS 111122223333 permissão para enviar e receber da queue2, de propriedade da Conta da AWS 444455556666.


{   
   "Version": "2012-10-17",
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}

Exemplo 2: conceder permissão a uma ou mais contas

O exemplo a seguir da política do Amazon SQS dá a um ou mais Contas da AWS acesso às filas pertencentes à sua conta por um período de tempo específico. É necessário criar essa política e fazer upload no Amazon SQS usando a ação SetQueueAttributes, porque a ação AddPermission não permite especificar uma restrição de tempo ao conceder acesso a uma fila.


{   
   "Version": "2012-10-17",
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}

Exemplo 3: dê permissão para solicitações de EC2 instâncias da Amazon

O exemplo a seguir da política do Amazon SQS dá acesso às solicitações provenientes de instâncias da Amazon EC2 . Esse exemplo se baseia no exemplo "Exemplo 2: conceder permissão a uma ou mais contas": ele restringe o acesso a antes de 30 de junho de 2009 ao meio-dia (UTC), que restringe o acesso ao intervalo de IP 203.0.113.0/24. É necessário criar essa política e fazer upload no Amazon SQS usando a ação SetQueueAttributes, porque a ação AddPermission não permite especificar uma restrição de endereço IP ao conceder acesso a uma fila.


{   
   "Version": "2012-10-17",
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}

Exemplo 4: negar acesso a uma conta específica

O exemplo a seguir da política do Amazon SQS nega um Conta da AWS acesso específico à sua fila. Este exemplo se baseia no exemplo Exemplo 1: conceder permissão a uma conta "": ele nega acesso ao especificado. Conta da AWSÉ necessário criar essa política e fazer upload no Amazon SQS usando a ação SetQueueAttributes, porque a ação AddPermission não permite negar acesso a uma fila (ela permite apenas conceder acesso a uma fila).


{ 
   "Version": "2012-10-17",
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}

Exemplo 5: negar o acesso se não vier de um VPC endpoint

O exemplo de política do Amazon SQS a seguir restringe o acesso à queue1: 111122223333 pode realizar as ações SendMessage e ReceiveMessage somente do ID de endpoint da VPC vpce-1a2b3c4d (especificado usando a condição aws:sourceVpce). Para obter mais informações, consulte Endpoints da Amazon Virtual Private Cloud para o Amazon SQS.

nota

A condição aws:sourceVpce não requer um ARN para o recurso do VPC endpoint, somente o ID do VPC endpoint.
Você pode modificar o exemplo a seguir para restringir todas as ações para um endpoint da VPC negando todas as ações do Amazon SQS (sqs:*) na segunda instrução. No entanto, essa instrução de política determinará que todas as ações (incluindo ações administrativas necessárias para modificar as permissões da fila) deverão ser feitas por meio do VPC endpoint específico definido na política, potencialmente impedindo que o usuário modifique as permissões da fila no futuro.


{
   "Version": "2012-10-17",
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Limitações das políticas personalizadas

Uso de credenciais de segurança temporárias