翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SQS でのポリシーの使用
このトピックでは、アカウント管理者がIAMアイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
重要
初めに Amazon Simpleキューサ-ビスリソースへのアクセスを管理するための基本概念と使用できるオプションについて説明する概要トピックをご覧になることをお勧めします。詳細については、「Amazon SQS でのアクセス管理の概要」を参照してください。
ただし、ListQueues
では、すべての Amazon SQSアクションがリソース-レベルのアクセス許可をサポートします。詳細については、「Amazon SQS (Amazon SQS)、 API のアクセス権限: アクションとリソースのリファレンスについて」を参照してください。
トピック
Amazon SQS ポリシーとIAMポリシーの使用
ユーザーに Amazon SQSリソースのアクセス権限を付与する方法は、 ポリシーシステムを使用する方法とIAMポリシーシステムを使用する方法の 2 つです。いずれか、または両方を使用できます。ほとんどの場合、どちらでも同じ結果が得られます。
例えば、以下の図は、IAMポリシーとそれに相当する Amazon SQS ポリシーを示しています。ReceiveMessage
IAMポリシーは、 AWSアカウントとAmazon SQSで呼ばれるキューに対する SendMessage
queue_xyz
および アクションの権限を付与します。このポリシーは、ユーザー Bob および Susan に添付されています (つまり、Bob と Susan に、ポリシー内に記述されているアクセス権限があります)。この ReceiveMessage
Amazon SQS ポリシーは、Bob と Susan に、同じキューの と SendMessage
アクションへの権限も付与します。
注記
この例は、条件のないシンプルなポリシーを示しています。どちらのポリシーでも特定の条件を指定して、同じ結果を得ることができます。
IAMポリシーとAmazon SQSポリシーには、Amazon SQSポリシーシステムでは他のAWSアカウントにアクセス許可を付与できますが、IAMではできないという違いが 1 つあります。
両方のシステムを同時に使用してどのようにアクセス許可を管理するかは、ご自身で決めてください。以下の例では、2つのポリシーシステムがどのように連携するかを示しています。
-
最初の例では、BobのアカウントにIAMポリシーとAmazon SQS ポリシーの両方が適用されています。
ReceiveMessage
IAMポリシーは、Amazon SQSでのqueue_xyz
アクションについて、Bob のアカウントにアクセス許可を付与しAmazon SQS 、 ポリシーは、同じキューのSendMessage
アクションのアクセス許可をBobのアカウントに付与します。以下の図に、そのコンセプトを示します。Bob が
ReceiveMessage
リクエストをqueue_xyz
に送信すると、IAMポリシーでそのアクションが許可されます。BobがSendMessage
リクエストをqueue_xyz
に送信すると Amazon SQSポリシーでそのアクションが許可されます。 -
2 番目の例では、Bob が
queue_xyz
に対するアクセス許可を不正に使用したため、このキューへのBobのアクセス許可をすべて削除する必要があります。最も簡単な方法は、そのキューに対するBobのアクションをすべて拒否するようなポリシーを追加することです。明示的なdeny
は常にallow
をオーバーライドするため、このポリシーは他の 2 つのポリシーをオーバーライドします。ポリシーの評価ロジックの詳細については、「Amazon SQSアクセスポリシー言語を使用したカスタムポリシーの使用」を参照してください。以下の図に、そのコンセプトを示します。また、そのキューに対する Bob からのアクセスをすべて拒否するようなステートメントを Amazon SQSポリシーに追加することもできます。これは、そのキューに対する Bobのアクセスを拒否するIAMポリシーを追加するのと同じ効果を持ちます。Amazon SQSアクションおよびリソースに対応するポリシーの例については、「ベーシックAmazon SQSポリシーの例」を参照してください。AmazonSQS記載 ポリシーの詳細については、「Amazon SQSアクセスポリシー言語を使用したカスタムポリシーの使用」を参照してください。
Amazon SQSコンソールの使用に必要なアクセス許可
Amazon SQSコンソールを使用して作業するユーザーには、ユーザーの AWS アカウント アカウントのAmazon SQSキューを使用するための最小限のアクセス権限が必要です。たとえば、ユーザーにはキューをリスト表示するための ListQueues
アクションを呼び出すアクセス権限、またはキューを作成するための CreateQueue
アクションを呼び出すアクセス権限が必要です。Amazon SQSキューを Amazon SNSトピックに登録する Amazon SQS アクセス権限に加えて、コンソールには Amazon SNSアクション用のアクセス権限が必要です。
これらの最小限必要なアクセス権限よりも制限された IAMポリシーを作成している場合、そのIAMポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しない場合があります。
AWS CLI または Amazon SQS またはアクションのみを呼び出す場合は、最小限のコンソールアクセス許可をユーザーに付与する必要はありません。