Privacidade do tráfego entre redes no Amazon SQS - Amazon Simple Queue Service
Endpoints da VPCCriar uma política de endpoint da VPC

Privacidade do tráfego entre redes no Amazon SQS

Um endpoint da Amazon Virtual Private Cloud (Amazon VPC) para Amazon SQS é uma entidade lógica dentro de uma VPC que permite conectividade apenas com o Amazon SQS. A VPC roteia as solicitações para o Amazon SQS e as respostas de volta para a VPC. As seções a seguir contêm informações sobre como trabalhar com VPC endpoints e criar políticas de VPC endpoint.

Endpoints da Amazon Virtual Private Cloud para o Amazon SQS

Se você usa a Amazon VPC para hospedar seus recursos da AWS, pode estabelecer uma conexão entre a VPC e o Amazon SQS. Você pode usar essa conexão para enviar mensagens às suas filas do Amazon SQS sem precisar passar pela Internet pública.

A Amazon VPC permite iniciar recursos da AWS em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter informações sobre como criar suas próprias VPCs, consulte o Guia do usuário da Amazon VPC.

Para conectar a VPC ao Amazon SQS, primeiro você deve definir um endpoint da VPC de interface, que permite conectar a VPC a outros produtos da AWS. O endpoint fornece uma conectividade confiável e escalável ao Amazon SQS sem a necessidade de um gateway da Internet, de uma instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte Tutorial: Envio de uma mensagem a uma fila do Amazon SQS pela Amazon Virtual Private Cloud e Exemplo 5: negar o acesso se não vier de um VPC endpoint neste guia e Endpoints da VPC de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

Importante

  • Você pode usar a Amazon Virtual Private Cloud somente com endpoints HTTPS do Amazon SQS.

  • Ao configurar o Amazon SQS para enviar mensagens pela Amazon VPC, habilite o DNS privado e especifique endpoints no formato sqs.us-east-2.amazonaws.com ou sqs.us-east-2.api.aws para o endpoint de pilha dupla.

  • O Amazon SQS também oferece suporte a endpoints FIPS por meio do PrivateLink usando o serviço de endpoint com.amazonaws.region.sqs-fips. Você pode se conectar aos endpoints FIPS no formato sqs-fips.region.amazonaws.com.

  • Ao usar o endpoint de pilha dupla na Amazon Virtual Private Cloud, as solicitações serão enviadas usando IPv4 e IPv6.

  • O DNS privado não oferece suporte a endpoints legados, como queue.amazonaws.com ou us-east-2.queue.amazonaws.com.

Criar uma política de endpoint da Amazon VPC para o Amazon SQS

É possível criar uma política para endpoints da Amazon VPC para o Amazon SQS na qual se especifica o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a produtos com endpoints da VPC no Guia do usuário da Amazon VPC

O exemplo de política de endpoint da VPC a seguir especifica que o usuário MyUser tem permissão para enviar mensagens à fila MyQueue do Amazon SQS.

{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}

O seguinte é negado:

  • Outras ações de API do Amazon SQS, como sqs:CreateQueue e sqs:DeleteQueue.

  • Outros usuários e regras do que tentam usar esse VPC endpoint.

  • MyUserEnvio de mensagens de para outra fila do Amazon SQS.

nota

O usuário ainda pode usar outras ações de API do Amazon SQS de fora da VPC. Para obter mais informações, consulte Exemplo 5: negar o acesso se não vier de um VPC endpoint.