Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de langage de la stratégie d'accès Amazon SQS personnalisé
Voici des exemples classiques de stratégies d'accès Amazon SQS.
Exemple 1 : Accorder une autorisation à un compte
L'exemple de stratégie Amazon SQS suivant accorde au compte Compte AWS
111122223333 l'autorisation d'envoyer et de recevoir la file d'attente queue2 détenue par le compte Compte AWS
444455556666.
{ "Version": "2012-10-17", "Id": "UseCase1", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Exemple 2 : Accorder une autorisation à un ou plusieurs comptes
L'exemple suivant de politique Amazon SQS donne un ou plusieurs Comptes AWS accès aux files d'attente détenues par votre compte pendant une période spécifique. Il est nécessaire d'écrire cette stratégie et de la télécharger dans Amazon SQS à l'aide de l'action SetQueueAttributes, car l'action AddPermission ne permet pas de spécifier une restriction de durée lors de l'octroi de l'accès à une file d'attente.
{ "Version": "2012-10-17", "Id": "UseCase2", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" } } }] }
Exemple 3 : donner l'autorisation aux demandes provenant d' EC2 instances Amazon
L'exemple suivant de politique Amazon SQS donne accès aux demandes provenant d'instances Amazon EC2 . Cet exemple repose sur l'exemple « Exemple 2 : Accorder une autorisation à un ou plusieurs comptes » : il restreint l'accès aux demandes envoyées avant le 30 juin 2009 à midi (UTC), ainsi qu'à la plage d'adresses IP 203.0.113.0/24. Il est nécessaire d'écrire cette stratégie et de la télécharger dans Amazon SQS à l'aide de l'action SetQueueAttributes, car l'action AddPermission ne permet pas de spécifier une restriction d'adresse IP lors de l'octroi de l'accès à une file d'attente.
{ "Version": "2012-10-17", "Id": "UseCase3", "Statement" : [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2", "Condition": { "DateLessThan": { "AWS:CurrentTime": "2009-06-30T12:00Z" }, "IpAddress": { "AWS:SourceIp": "203.0.113.0/24" } } }] }
Exemple 4 : Refus d'accès à un compte spécifique
L'exemple suivant de politique Amazon SQS refuse un Compte AWS accès spécifique à votre file d'attente. Cet exemple s'appuie sur l'exemple Exemple 1 : Accorder une autorisation à un compte « » : il refuse l'accès au spécifié Compte AWS. Il est nécessaire d'écrire cette stratégie et de la télécharger dans Amazon SQS à l'aide de l'action SetQueueAttributes, car l'action AddPermission ne permet pas de refuser l'accès à une file d'attente (elle permet uniquement d'accorder l'accès à une file d'attente).
{ "Version": "2012-10-17", "Id": "UseCase4", "Statement" : [{ "Sid": "1", "Effect": "Deny", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2" }] }
Exemple 5 : Refuser l'accès s'il n'émane pas d'un point de terminaison de VPC
L'exemple suivant de stratégie Amazon SQS restreint l'accès à queue1 : 111122223333 peut effectuer les actions SendMessage et ReceiveMessage uniquement à partir de l'ID de point de terminaison d'un VPC vpce-1a2b3c4d (spécifié à l'aide de la condition aws:sourceVpce). Pour de plus amples informations, veuillez consulter Points de terminaison Amazon Virtual Private Cloud pour Amazon SQS.
Note
-
La condition
aws:sourceVpcene requiert pas d'ARN pour la ressource du point de terminaison de VPC, uniquement l'ID du point de terminaison de VPC. -
Vous pouvez modifier l'exemple suivant pour restreindre toutes les actions au point de terminaison d'un VPC spécifique en refusant toutes les actions Amazon SQS (
sqs:*) dans la deuxième instruction. Toutefois, une telle déclaration de stratégie stipulerait que toutes les actions (y compris les actions administratives requises pour modifier les autorisations de la file d'attente) doivent être effectuées via le point de terminaison de VPC spécifique défini dans la stratégie, ce qui pourrait empêcher l'utilisateur de modifier les autorisations de la file d'attente par la suite.
{ "Version": "2012-10-17", "Id": "UseCase5", "Statement": [{ "Sid": "1", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1" }, { "Sid": "2", "Effect": "Deny", "Principal": "*", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
