Privacidade do tráfego entre redes no Amazon SQS - Amazon Simple Queue Service
Endpoints da VPCCriar uma política de endpoint da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Privacidade do tráfego entre redes no Amazon SQS

Um endpoint da Amazon Virtual Private Cloud (Amazon VPC) para Amazon SQS é uma entidade lógica dentro de uma VPC que permite conectividade apenas com o Amazon SQS. A VPC roteia as solicitações para o Amazon SQS e as respostas de volta para a VPC. As seções a seguir contêm informações sobre como trabalhar com VPC endpoints e criar políticas de VPC endpoint.

Endpoints da Amazon Virtual Private Cloud para o Amazon SQS

Se você usa o Amazon VPC para hospedar seus AWS recursos, você pode estabelecer uma conexão entre seu VPC e o Amazon SQS. Você pode usar essa conexão para enviar mensagens às suas filas do Amazon SQS sem precisar passar pela Internet pública.

A Amazon VPC permite que você lance AWS recursos em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter mais informações sobre VPCs, consulte o Guia do usuário da Amazon VPC.

Para conectar a VPC ao Amazon SQS, primeiro você deve definir um endpoint da VPC de interface, que permite conectar a VPC a outros produtos da AWS . O endpoint fornece uma conectividade confiável e escalável ao Amazon SQS sem a necessidade de um gateway da Internet, de uma instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte Tutorial: Envio de uma mensagem a uma fila do Amazon SQS pela Amazon Virtual Private Cloud e Exemplo 5: negar o acesso se não vier de um VPC endpoint neste guia e Endpoints da VPC de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

Importante

  • Você pode usar a Amazon Virtual Private Cloud somente com endpoints HTTPS do Amazon SQS.

  • Ao configurar o Amazon SQS para enviar mensagens da Amazon VPC, você deve habilitar o DNS privado e especificar endpoints no formato sqs.us-east-2.amazonaws.com ou para o endpoint de pilha dupla. sqs.us-east-2.api.aws

  • O Amazon SQS também oferece suporte a endpoints FIPS por meio do PrivateLink uso do serviço de endpoint. com.amazonaws.region.sqs-fips Você pode se conectar aos endpoints FIPS no formato. sqs-fips.region.amazonaws.com

  • Ao usar o endpoint de pilha dupla na Amazon Virtual Private Cloud, as solicitações serão enviadas usando e. IPv4 IPv6

  • O DNS privado não oferece suporte a endpoints legados, como queue.amazonaws.com ou us-east-2.queue.amazonaws.com.

Criar uma política de endpoint da Amazon VPC para o Amazon SQS

É possível criar uma política para endpoints da Amazon VPC para o Amazon SQS na qual se especifica o seguinte:

  • A entidade principal que pode realizar ações.

  • As ações que podem ser realizadas.

  • Os recursos aos quais as ações podem ser aplicadas.

Para obter mais informações, consulte Controlar o acesso a produtos com endpoints da VPC no Guia do usuário da Amazon VPC

O exemplo de política de endpoint da VPC a seguir especifica que o usuário MyUser tem permissão para enviar mensagens à fila MyQueue do Amazon SQS.

{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}

O seguinte é negado:

  • Outras ações de API do Amazon SQS, como sqs:CreateQueue e sqs:DeleteQueue.

  • Outros usuários e regras do que tentam usar esse VPC endpoint.

  • Envio de mensagens de MyUser para outra fila do Amazon SQS.

nota

O usuário ainda pode usar outras ações de API do Amazon SQS de fora da VPC. Para obter mais informações, consulte Exemplo 5: negar o acesso se não vier de um VPC endpoint.