Amazon web services AWS SQS策略不限制根用户_Amazon Web Services_Amazon Sqs

Amazon web services AWS SQS策略不限制根用户

amazon-web-services

Amazon web services AWS SQS策略不限制根用户,amazon-web-services,amazon-sqs,Amazon Web Services,Amazon Sqs,我作为根用户创建了一些SQS队列。-现在，当我喜欢通过政策限制访问时，它似乎不起作用。-即使有这样的测试策略 { "Version": "2008-10-17", "Id": "PolicyDenyTest", "Statement": [ { "Sid": "DenyIt", "Effect"

我作为根用户创建了一些SQS队列。-现在，当我喜欢通过政策限制访问时，它似乎不起作用。-即使有这样的测试策略

{
  "Version": "2008-10-17",
  "Id": "PolicyDenyTest",
  "Statement": [
    {
      "Sid": "DenyIt",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
      ],
      "Resource": "arn:aws:sqs:us-west-2:xxxxxxxxxx:TST"
    }
  ]
}

我仍然可以从本地计算机发送/检索/删除队列中的消息。-策略是否仅在使用IAM用户创建队列时有效

帐户所有者的凭据允许完全访问帐户中的所有资源。不能使用IAM策略明确拒绝根用户访问资源。您只能使用AWS组织服务控制策略（SCP）来限制根用户的权限。因此，我们建议您创建一个具有管理员权限的IAM用户，用于日常AWS任务，并锁定根用户的访问密钥

根密钥是万能的密钥，即使您错误地拒绝对所有资源的所有访问，它也可以用来恢复所有内容。这是一个经过深思熟虑的决定，在链接的文档中解释了这一点。

您的本地计算机使用的是什么用户/角色？我使用的是根帐户的访问/机密。您可以在“资源”中再次检查ARN值吗密钥？它是正确的-我直接从SQS控制台复制了它-只是为了我的问题中的stackoverflow我用“xxx”重写了我刚刚创建了一个新的IAM用户，拥有SQS的完全权限，并在我的本地机器上使用了该访问密钥-我被正确拒绝，但当切换回根密钥时我可以处理。-我的最终目标是限制EC2的内部VPC，这样就不可能进行外部访问（即使使用根密钥），但根密钥似乎可以绕过我认为错误的策略。