AWS IAM用户策略限制对特定SQS队列的访问
我正在尝试为AWS IAM用户设置访问特定AWS SQS队列的用户策略。
当我尝试使用以下策略时,我得到错误AccessDenied。
{
"Statement": [
{
"Action": ["sqs:*"],
"Effect": "Allow",
"Resource": ["arn:aws:sqs:us-east-1:my_aws_account_id:queue_name"]
}
]
}
但是,当我尝试使用相同的策略时,仅将arn的queue_name部分替换为*,它可以工作:
{
"Statement": [
{
"Action": ["sqs:*"],
"Effect": "Allow",
"Resource": ["arn:aws:sqs:us-east-1:my_aws_account_id:*"]
}
]
}
当试图限制对特定队列的访问时,会出现什么问题?
共有2个答案
我遇到了类似的情况,发现“arn:aws:sqs::::::::::::::::::::::::::::queue\u name”对我很有效。
您试图对特定于队列的策略执行什么操作?我做了以下工作:
- 已创建队列(所有默认值)
- 定义了IAM用户,并在您的#1中添加了格式相同的用户策略
- 添加消息、检索消息和删除消息-没问题
- 执行了高于队列级别(如列表队列)的操作错误
-
我想出了将创建策略的权限委托给用户的想法。分配给此用户的策略是: 现在,由于用户可以在路径sys/policies/acl/user-*中创建策略,这样的策略可以包含对Vault中任何路径的任何权限,这当然不是我想要实现的。我想将此策略创建权限限制在给定的路径上。这在金库里有可能吗?
-
我正计划使用JWT。JWT将包含权限列表,单个微服务将使用“位置”和“权限”的组合来确定。 不幸的是,我无法在Keycloak中配置客户端来分配策略和权限,也无法在Internet上找到任何示例。
-
我有一个不断运行的lambda函数和一些动态创建的SQS队列。我需要一种允许lambda访问所有SQS队列的方法,以便可以使用这些动态创建的队列-我如何做到这一点? 目前,我使用的执行角色具有iam策略和单个队列ARN,但似乎无法创建多个执行角色。
-
为了进一步加强我们解决方案的安全性,我们现在正在研究使用的SNS主题和SQS队列。我们的所有组件都位于同一个AWS帐户中。 首先,我们希望限制对基于IP的SQS队列的访问。因此,只允许来自NAT网关IP的请求。我们不允许匿名访问SQS队列。 但似乎没有办法实现这一点,因为SQS队列的创建者(AWS帐户id)在默认情况下具有访问权限。因此,您无法在同一AWS帐户id中为其他用户创建有效权限。因为新创
-
我有3个用户角色:管理员、客户和员工。 登录后,每个角色将重定向到特定的仪表板,例如:-管理员:网站。com/admin-客户:网站。com/客户-员工:网站。通讯员/雇员 此时,无论我使用哪个用户角色,都可以通过这些网址访问所有内容。 限制客户打开admin的最简单方法是什么 Laravel版本5.2.45 PHP版本7.2我正在使用共享托管提供商。谢谢你们
-
我们正在使用SNS主题和多个SQS队列订阅者实现AWS扇出模式。我想知道,如果我成功地发布了一个SNS主题上的消息,但它(由于某种原因)无法将其转发到队列,会发生什么情况。SNS会重试吗?如果是的话,有没有办法控制这一点。 我找到了http://docs.aws.amazon.com/SNS/latest/dg/deliverypolicies.html这个页面,其中讨论了为SNS HTTP/HT