У меня есть SQS, для которого я хочу ограничить доступ к службам, которым разрешено отправлять / получать.
Прочитав и попробовав, я обнаружил, что это можно сделать с помощью политики доступа в SQS.
Политика, которую я написал:
"Version": "2012-10-17",
"Id": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03/SQSDefaultPolicy",
"Statement": [
{
"Sid": "Sid456789",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789:role/HACKiam01"
},
"Action": "SQS:ReceiveMessage",
"Resource": "arn:aws:sqs:eu-west-1:123456789HACKsqs03"
},
{
"Sid": "Sid123456",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789:role/HACKiam02"
},
"Action": "SQS:SendMessage",
"Resource": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03"
}
]
Эту политику я прикрепил к SQS.
Две роли были добавлены к двум различным экземплярам EC2, которые я использовал для тестирования. Теперь и те, и другие по-прежнему могут отправлять и получать сообщения. Я не могу понять почему?
Моя политика неверна? Или я неправильно понимаю документацию?
Уточнение: мне нужна политика, которая позволяет одному экземпляру / группе безопасности / iam-роли отправлять сообщения и одному экземпляру / sg / iam-role получать.
sqs:*
)? - person John Rotenstein   schedule 14.08.2017