Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

¿Cómo actualizo mi política de acceso de SQS para aplicar el principio de acceso de privilegios mínimos?

2 minutos de lectura
0

Para aislar los ataques malintencionados, quiero restringir el acceso a mi punto de conexión de VPC para mi cola de Amazon Simple Queue Service (Amazon SQS). Quiero denegar el acceso desde otros puntos de conexión de VPC y limitar los permisos de origen de eventos de función de AWS Lambda.

Resolución

Para proteger su cola de SQS, aplique los principios de privilegio mínimo a su política de acceso de SQS. Puede aislar cualquier ataque malintencionado de la cola si solo permite las solicitudes de los puntos de conexión de VPC y las funciones de Lambda especificados con la asignación de orígenes de eventos. Puede proteger su cola y aislar los ataques al desplegar la siguiente política de acceso de SQS:

{
  "Version": "2012-10-17",
  "Id": "default_policy_ID",
  "Statement": [
    {
      "Sid": "owner_statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam:XXXXXXX:root"
      },
      "Action": "SQS:*",
      "Resource": "arn:aws:sqs:us-east-1:XXXXXXXX:test.fifo"
    },
    {
      "Sid": "RestrictSendReceiveToVpce",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "sqs:SendMessage",
        "sqs:ReceiveMessage",
        "sqs:DeleteMessage",
        "sqs:DeleteQueue",
        "sqs:PurgeQueue"
      ],
      "Resource": "arn:aws:sqs:us-east-1: XXXXXX:test.fifo",
      "Condition": {
        "ArnNotEquals": {
         "aws:PrincipalArn": "Lambda execution role arn"
        },
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-XXXXX"
        }
      }
    }
  ]
}

Esta política de acceso de SQS realiza las acciones siguientes:

  • Si el punto de conexión de la VPC no es el punto aws:sourceVpce que se proporcionó al realizar la solicitud, la política denegará el envío de mensajes a la cola de SQS.
  • Cuando el rol de ejecución de la función de Lambda no es PrincipalArn, la política deniega el permiso de la función de Lambda.

Las condiciones ArnNotEquals y StringNotEquals de la política usan la lógica de evaluación OR. Si alguna de las instrucciones es verdadera, se admitirá la solicitud.

Para obtener más información sobre la lógica de evaluación de las condiciones, consulte Creación de una condición con varias claves o valores.

Información relacionada

Tutorial: Envío de un mensaje a una cola de Amazon SQS desde Amazon Virtual Private Cloud

Temas
Sin servidorIntegración de aplicaciones
Etiquetas
Amazon Simple Queue Service
Idioma
Español
OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años

Contenido relevante