Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh dasar SQS kebijakan Amazon
Bagian ini menunjukkan contoh kebijakan untuk kasus SQS penggunaan Amazon yang umum.
Anda dapat menggunakan konsol untuk memverifikasi efek setiap kebijakan saat Anda melampirkan kebijakan kepada pengguna. Awalnya, pengguna tidak memiliki izin dan tidak akan dapat melakukan apa pun di konsol. Saat Anda melampirkan kebijakan ke pengguna, Anda dapat memverifikasi bahwa pengguna dapat melakukan berbagai tindakan di konsol.
catatan
Kami menyarankan Anda menggunakan dua jendela browser: satu untuk memberikan izin dan yang lainnya untuk masuk ke AWS Management Console menggunakan kredensi pengguna untuk memverifikasi izin saat Anda memberikannya kepada pengguna.
Contoh 1: Berikan satu izin kepada satu Akun AWS
Contoh kebijakan berikut memberikan Akun AWS nomor 111122223333 SendMessage izin untuk antrian yang disebutkan 444455556666/queue1 di wilayah AS Timur (Ohio).
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_SendMessage", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1" }] }
Contoh 2: Berikan dua izin ke satu Akun AWS
Contoh kebijakan berikut memberikan Akun AWS nomor 111122223333 baik SendMessage dan ReceiveMessage izin untuk antrian bernama. 444455556666/queue1
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_Send_Receive", "Effect": "Allow", "Principal": { "AWS": [ "111122223333" ] }, "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:444455556666:queue1" }] }
Contoh 3: Berikan semua izin ke dua Akun AWS
Contoh kebijakan berikut memberikan dua Akun AWS nomor yang berbeda (111122223333dan444455556666) izin untuk menggunakan semua tindakan yang Amazon SQS mengizinkan akses bersama untuk antrian yang dinamai 123456789012/queue1 di wilayah AS Timur (Ohio).
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AllActions", "Effect": "Allow", "Principal": { "AWS": [ "111122223333", "444455556666" ] }, "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1" }] }
Contoh 4: Berikan izin lintas akun untuk peran dan nama pengguna
Contoh kebijakan berikut memberikan role1 izin 111122223333 lintas akun username1 di bawah Akun AWS nomor untuk menggunakan semua tindakan yang SQS memungkinkan Amazon mengakses bersama untuk antrian yang disebutkan 123456789012/queue1 di wilayah AS Timur (Ohio).
Izin lintas akun tidak berlaku untuk tindakan berikut:
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AllActions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/role1", "arn:aws:iam::111122223333:user/username1" ] }, "Action": "sqs:*", "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1" }] }
Contoh 5: Berikan izin kepada semua pengguna
Contoh kebijakan berikut memberikan ReceiveMessage izin kepada semua pengguna (pengguna anonim) untuk antrian bernama. 111122223333/queue1
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_ReceiveMessage", "Effect": "Allow", "Principal": "*", "Action": "sqs:ReceiveMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1" }] }
Contoh 6: Berikan izin terbatas waktu untuk semua pengguna
Contoh kebijakan berikut memberikan ReceiveMessage izin kepada semua pengguna (pengguna anonim) untuk antrian bernama111122223333/queue1, tetapi hanya antara pukul 12:00 siang (siang) dan 15:00 pada tanggal 31 Januari 2009.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit", "Effect": "Allow", "Principal": "*", "Action": "sqs:ReceiveMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "DateGreaterThan" : { "aws:CurrentTime":"2009-01-31T12:00Z" }, "DateLessThan" : { "aws:CurrentTime":"2009-01-31T15:00Z" } } }] }
Contoh 7: Berikan semua izin kepada semua pengguna dalam rentang CIDR
Contoh kebijakan berikut memberikan izin kepada semua pengguna (pengguna anonim) untuk menggunakan semua kemungkinan SQS tindakan Amazon yang dapat dibagikan untuk antrian bernama111122223333/queue1, tetapi hanya jika permintaan berasal dari rentang. 192.0.2.0/24 CIDR
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP", "Effect": "Allow", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"192.0.2.0/24" } } }] }
Contoh 8: Izin daftar izin dan daftar blokir untuk pengguna dalam rentang yang berbeda CIDR
Contoh kebijakan berikut memiliki dua pernyataan:
-
Pernyataan pertama memberikan semua pengguna (pengguna anonim) dalam
192.0.2.0/24CIDR rentang (kecuali192.0.2.188) izin untuk menggunakanSendMessagetindakan untuk antrian bernama /queue1.111122223333 -
Pernyataan kedua memblokir semua pengguna (pengguna anonim) dalam
12.148.72.0/23CIDR rentang dari menggunakan antrian.
{ "Version": "2012-10-17", "Id": "Queue1_Policy_UUID", "Statement": [{ "Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit", "Effect": "Allow", "Principal": "*", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp":"192.0.2.188/32" } } }, { "Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny", "Effect": "Deny", "Principal": "*", "Action": "sqs:*", "Resource": "arn:aws:sqs:*:111122223333:queue1", "Condition" : { "IpAddress" : { "aws:SourceIp":"12.148.72.0/23" } } }] }
