Ограничение AWS sqs до ec2 с ролью iam

У меня есть SQS, для которого я хочу ограничить доступ к службам, которым разрешено отправлять / получать.

Прочитав и попробовав, я обнаружил, что это можно сделать с помощью политики доступа в SQS.

Политика, которую я написал:

"Version": "2012-10-17",
  "Id": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03/SQSDefaultPolicy",
  "Statement": [
{
  "Sid": "Sid456789",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::123456789:role/HACKiam01"
  },
  "Action": "SQS:ReceiveMessage",
  "Resource": "arn:aws:sqs:eu-west-1:123456789HACKsqs03"
},
{
  "Sid": "Sid123456",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::123456789:role/HACKiam02"
  },
  "Action": "SQS:SendMessage",
  "Resource": "arn:aws:sqs:eu-west-1:123456789:HACKsqs03"
}
]

Эту политику я прикрепил к SQS.

Две роли были добавлены к двум различным экземплярам EC2, которые я использовал для тестирования. Теперь и те, и другие по-прежнему могут отправлять и получать сообщения. Я не могу понять почему?

Моя политика неверна? Или я неправильно понимаю документацию?

Уточнение: мне нужна политика, которая позволяет одному экземпляру / группе безопасности / iam-роли отправлять сообщения и одному экземпляру / sg / iam-role получать.


amazon-web-services amazon-ec2 amazon-sqs aws-access-policy
person superstienos    schedule 14.08.2017    source источник
comment
Чтобы уточнить ... вы говорите, что, хотя один экземпляр должен был только отправлять, а другой должен был только получать, оба экземпляра могут отправлять И получать? Содержат ли эти роли IAM какие-либо другие разрешения (например, sqs:*)?   -  person John Rotenstein    schedule 14.08.2017
comment
Нет, можно отправить. И один получить. Они не должны иметь возможности делать что-то еще.   -  person superstienos    schedule 14.08.2017
comment
Содержат ли эти роли IAM какие-либо другие разрешения (например, sqs: *)?   -  person John Rotenstein    schedule 14.08.2017
comment
Нет, я сделал две новые. Ничего не добавлено, только имена   -  person superstienos    schedule 14.08.2017
comment
Что ж, они, должно быть, откуда-то получают разрешения. Я бы порекомендовал удалить политику SQS, чтобы проверить, не препятствует ли она доступу. Продолжайте удалять вещи (разрешения SQS, разрешения IAM) до тех пор, пока доступ не прекратится, и тогда вы узнаете, что предоставляет им доступ. Кроме того, проверьте, есть ли у вас учетные данные, хранящиеся в используемых экземплярах, вместо разрешений, предоставленных ролями, назначенными экземпляру EC2.   -  person John Rotenstein    schedule 14.08.2017
comment
Спасибо! Люди облажались с политикой ...   -  person superstienos    schedule 15.08.2017

Ответы (1)


arrow_upward
0
arrow_downward

Есть и другие политики, явно разрешающие вещи. Спасибо Джону Ротенштейну за то, что указал мне в правильном направлении:

Дополнительный вопрос

person superstienos    schedule 15.08.2017