本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon SQS 中的網際網路流量隱私權
<a name="sqs-internetwork-traffic-privacy"></a>

適用於 Amazon SQS 的 Amazon Virtual Private Cloud (Amazon VPC) 端點是 VPC 中的邏輯實體，僅允許連線到 Amazon SQS。VPC 會將請求路由至 Amazon SQS，並將回應路由回 VPC。以下各節提供使用 VPC 端點以及建立 VPC 端點政策的相關資訊。

## 適用於 Amazon SQS 的 Amazon Virtual Private Cloud 端點
<a name="sqs-vpc-endpoints"></a>

如果您使用 Amazon VPC 託管 AWS 資源，您可以在 VPC 與 Amazon SQS 之間建立連線。您可以使用此連線來將訊息傳送至 Amazon SQS 佇列，而不超過公有網際網路。

Amazon VPC 可讓您在自訂虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定，例如 IP 地址範圍、子網路、路由表和網路閘道。如需有關 Amazon VPC 的詳細資訊，請參閱《*[Amazon VPC 使用者指南](https://docs.aws.amazon.com/vpc/latest/userguide/)*》。

若要將 VPC 連接至 Amazon SQS，您必須先定義*介面 VPC 端點*，其可讓您將 VPC 連接至其他 AWS 服務。端點能為 Amazon SQS 提供可靠、可擴展性的連線，無須使用網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連接。如需詳細資訊，請參閱本指南中的 [教學課程：從 Amazon Virtual Private Cloud 傳送訊息至 Amazon SQS 佇列 Amazon Virtual Private Cloud](sqs-sending-messages-from-vpc.md) 和 [範例 5：如果不是來自 VPC 端點，則拒絕存取](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc)，以及《Amazon VPC 使用者指南》**中的[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

**重要**  
Amazon 虛擬私有雲端只能搭配 HTTPS Amazon SQS 端點使用。
當您設定 Amazon SQS 從 Amazon VPC 傳送訊息時，您必須啟用私有 DNS，並指定格式為 `sqs.{{us-east-2}}.amazonaws.com`或雙堆疊端點`sqs.{{us-east-2}}.api.aws`的端點。
Amazon SQS 也支援透過 PrivateLink 使用端點服務的 FIPS `com.amazonaws.region.sqs-fips`端點。您可以連線到格式為 的 FIPS 端點`sqs-fips.region.amazonaws.com`。
在 Amazon Virtual Private Cloud 中使用雙堆疊端點時，將使用 IPv4 和 IPv6 傳送請求。
私有 DNS 不支援 `queue.amazonaws.com` 或 `{{us-east-2}}.queue.amazonaws.com` 之類的延遲端點

## 為 Amazon SQS 建立 VPC 端點政策
<a name="sqs-vpc-endpoint-policy"></a>

您可以為 Amazon SQS 的 Amazon VPC 端點建立政策，在其中您可以指定以下內容：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下範例 VPC 端點政策指定允許使用者 `MyUser` 傳送訊息到 Amazon SQS 佇列 `MyQueue`。

```
{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}
```

拒絕以下各項：
+ 其他 Amazon SQS API 動作，例如 `sqs:CreateQueue` 和 `sqs:DeleteQueue`。
+ 其他嘗試使用此 VPC 端點的 使用者和規則。
+ `MyUser` 傳送訊息至不同的 Amazon SQS 佇列。

**注意**  
IAM 使用者仍然可以從*外部* VPC 使用其他 Amazon SQS API 動作。如需詳細資訊，請參閱[範例 5：如果不是來自 VPC 端點，則拒絕存取](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc)。