Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richtlinien mit Amazon SQS verwenden
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen kann.
Wichtig
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und die für Sie verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre Amazon-Simple-Queue-Service-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Übersicht über die Zugriffsverwaltung in Amazon SQS.
Mit Ausnahme von ListQueues
unterstützen alle Amazon-SQS-Aktionen Berechtigungen auf Ressourcenebene. Weitere Informationen finden Sie unter Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen.
Verwenden von Amazon-SQS- und IAM-Richtlinien
Es gibt zwei Möglichkeiten, Ihren Benutzern Berechtigungen für Ihre Amazon SQS SQS-Ressourcen zu erteilen: mithilfe des Amazon SQS SQS-Richtliniensystems (ressourcenbasierte Richtlinien) und mithilfe des IAM-Richtliniensystems (identitätsbasierte Richtlinien). Sie können eine oder beide Methoden verwenden, mit Ausnahme der ListQueues
Aktion, bei der es sich um eine regionale Genehmigung handelt, die nur in einer IAM-Richtlinie festgelegt werden kann.
Die folgende Abbildung zeigt eine IAM-Richtlinie und eine entsprechende Amazon-SQS-Richtlinie. Die IAM-Richtlinie gewährt die Rechte an Amazon SQS ReceiveMessage
und SendMessage
Aktionen für die Warteschlange, die queue_xyz
in Ihrem AWS Konto aufgerufen wurde, und die Richtlinie gilt für Benutzer namens Bob und Susan (Bob und Susan verfügen über die in der Richtlinie angegebenen Berechtigungen). Diese Amazon-SQS-Richtlinie erteilt Bob und Susan Berechtigungen zum Ausführen der Aktionen ReceiveMessage
und SendMessage
für dieselbe Warteschlange.
Anmerkung
Das folgende Beispiel zeigt einfache Richtlinien ohne Bedingungen. Sie können eine bestimmte Bedingung in einer der Richtlinien angeben und erhalten dasselbe Ergebnis.

Es gibt einen wesentlichen Unterschied zwischen IAM- und Amazon SQS SQS-Richtlinien: Mit dem Amazon SQS SQS-Richtliniensystem können Sie anderen AWS Konten Berechtigungen erteilen, während dies bei IAM nicht der Fall ist.
Sie entscheiden, wie Sie beide Systeme zum Verwalten von Berechtigungen verwenden. Die folgenden Beispiele zeigen, wie die beiden Richtliniensysteme zusammenarbeiten.
-
Im ersten Beispiel verfügt Bob sowohl über eine IAM-Richtlinie als auch über eine Amazon-SQS-Richtlinie, die für sein Konto gelten. Die IAM-Richtlinie erteilt seinem Konto die Berechtigung für die Aktion
ReceiveMessage
fürqueue_xyz
, während die Amazon-SQS-Richtlinie sein Konto berechtigt, die AktionSendMessage
für dieselbe Warteschlange auszuführen. Das folgende Diagramm verdeutlicht das Konzept.Wenn Bob eine
ReceiveMessage
-Anforderung anqueue_xyz
sendet, lässt die IAM-Richtlinie die Aktion zu. Wenn Bob eineSendMessage
-Anforderung anqueue_xyz
sendet, lässt die Amazon-SQS-Richtlinie die Aktion zu. -
Im zweiten Beispiel missbraucht Bob seinen Zugriff auf
queue_xyz
, sodass es nötig wird, seinen gesamten Zugriff auf die Warteschlange zu verweigern Der einfachste Weg ist, eine Richtlinie hinzuzufügen, die ihm den Zugriff auf alle Aktionen für die Warteschlange verweigert. Diese Richtlinie setzt die beiden anderen außer Kraft, da ein explizitesdeny
einallow
immer überschreibt. Weitere Informationen zur Richtlinienauswertungslogik finden Sie unter Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS. Das folgende Diagramm verdeutlicht das Konzept.Sie können der Amazon-SQS-Richtlinie auch eine Anweisung hinzufügen, die Bob alle Zugriffe auf die Warteschlange verweigert. Dies hat die gleiche Auswirkung wie das Hinzufügen einer IAM-Richtlinie, die Bob den Zugriff auf die Warteschlange verweigert. Beispiele von Richtlinien, die Amazon-SQS-Aktionen und -Ressourcen abdecken, finden Sie unter Grundlegende Beispiele für Amazon-SQS-Richtlinien. Weitere Informationen zum Erstellen von Amazon-SQS-Richtlinien finden Sie unter Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS.
Erforderliche Berechtigungen zur Verwendung der Amazon-SQS-Konsole
Ein Benutzer, der mit der Amazon-SQS-Konsole arbeiten möchte, muss über die Mindestmenge an Berechtigungen verfügen, die es ihm erlauben, die Amazon-SQS-Warteschlangen im AWS-Konto des Benutzers zu verwenden. Beispielsweise muss der Benutzer über die Berechtigung zum Aufruf der Aktion ListQueues
verfügen, um Warteschlangen aufzulisten, oder über die Berechtigung zum Aufruf der Aktion CreateQueue
, um Warteschlangen erstellen zu können. Zusätzlich zu den Amazon-SQS-Berechtigungen erfordert die Konsole zum Abonnieren einer Amazon-SQS-Warteschlange für ein Amazon-SNS-Thema Berechtigungen für Amazon-SNS-Aktionen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole möglicherweise nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie.
Sie müssen Benutzern, die nur die Aktionen AWS CLI oder Amazon SQS aufrufen, keine Mindestberechtigungen für die Konsole gewähren.