Richtlinien mit Amazon SQS verwenden - Amazon Simple Queue Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien mit Amazon SQS verwenden

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen kann.

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und die für Sie verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre Amazon-Simple-Queue-Service-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Übersicht über die Zugriffsverwaltung in Amazon SQS.

Mit Ausnahme von ListQueues unterstützen alle Amazon-SQS-Aktionen Berechtigungen auf Ressourcenebene. Weitere Informationen finden Sie unter Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen.

Verwenden von Amazon-SQS- und IAM-Richtlinien

Es gibt zwei Möglichkeiten, Ihren Benutzern Berechtigungen für Ihre Amazon SQS SQS-Ressourcen zu erteilen: mithilfe des Amazon SQS SQS-Richtliniensystems (ressourcenbasierte Richtlinien) und mithilfe des IAM-Richtliniensystems (identitätsbasierte Richtlinien). Sie können eine oder beide Methoden verwenden, mit Ausnahme der ListQueues Aktion, bei der es sich um eine regionale Genehmigung handelt, die nur in einer IAM-Richtlinie festgelegt werden kann.

Die folgende Abbildung zeigt eine IAM-Richtlinie und eine entsprechende Amazon-SQS-Richtlinie. Die IAM-Richtlinie gewährt die Rechte an Amazon SQS ReceiveMessage und SendMessage Aktionen für die Warteschlange, die queue_xyz in Ihrem AWS Konto aufgerufen wurde, und die Richtlinie gilt für Benutzer namens Bob und Susan (Bob und Susan verfügen über die in der Richtlinie angegebenen Berechtigungen). Diese Amazon-SQS-Richtlinie erteilt Bob und Susan Berechtigungen zum Ausführen der Aktionen ReceiveMessage und SendMessage für dieselbe Warteschlange.

Anmerkung

Das folgende Beispiel zeigt einfache Richtlinien ohne Bedingungen. Sie können eine bestimmte Bedingung in einer der Richtlinien angeben und erhalten dasselbe Ergebnis.

Diagramm, in dem eine IAM-Richtlinie und eine entsprechende Amazon SQS SQS-Richtlinie verglichen werden. Die IAM-Richtlinie gewährt die Rechte an Amazon SQS ReceiveMessage und SendMessage Aktionen für die Warteschlange, die queue_xyz in Ihrem AWS Konto aufgerufen wurde, und die Richtlinie gilt für Benutzer namens Bob und Susan (Bob und Susan verfügen über die in der Richtlinie angegebenen Berechtigungen). Diese Amazon-SQS-Richtlinie erteilt Bob und Susan Berechtigungen zum Ausführen der Aktionen ReceiveMessage und SendMessage für dieselbe Warteschlange.

Es gibt einen wesentlichen Unterschied zwischen IAM- und Amazon SQS SQS-Richtlinien: Mit dem Amazon SQS SQS-Richtliniensystem können Sie anderen AWS Konten Berechtigungen erteilen, während dies bei IAM nicht der Fall ist.

Sie entscheiden, wie Sie beide Systeme zum Verwalten von Berechtigungen verwenden. Die folgenden Beispiele zeigen, wie die beiden Richtliniensysteme zusammenarbeiten.

  • Im ersten Beispiel verfügt Bob sowohl über eine IAM-Richtlinie als auch über eine Amazon-SQS-Richtlinie, die für sein Konto gelten. Die IAM-Richtlinie erteilt seinem Konto die Berechtigung für die Aktion ReceiveMessage für queue_xyz, während die Amazon-SQS-Richtlinie sein Konto berechtigt, die Aktion SendMessage für dieselbe Warteschlange auszuführen. Das folgende Diagramm verdeutlicht das Konzept.

    Diagramm, in dem die Komponenten einer IAM-Richtlinie mit einer Amazon SQS SQS-Richtlinie verglichen werden. Im ersten Beispiel verfügt Bob sowohl über eine IAM-Richtlinie als auch über eine Amazon-SQS-Richtlinie, die für sein Konto gelten. Die IAM-Richtlinie erteilt seinem Konto die Berechtigung für die Aktion ReceiveMessage für queue_xyz, während die Amazon-SQS-Richtlinie sein Konto berechtigt, die Aktion SendMessage für dieselbe Warteschlange auszuführen.

    Wenn Bob eine ReceiveMessage-Anforderung an queue_xyz sendet, lässt die IAM-Richtlinie die Aktion zu. Wenn Bob eine SendMessage-Anforderung an queue_xyz sendet, lässt die Amazon-SQS-Richtlinie die Aktion zu.

  • Im zweiten Beispiel missbraucht Bob seinen Zugriff auf queue_xyz, sodass es nötig wird, seinen gesamten Zugriff auf die Warteschlange zu verweigern Der einfachste Weg ist, eine Richtlinie hinzuzufügen, die ihm den Zugriff auf alle Aktionen für die Warteschlange verweigert. Diese Richtlinie setzt die beiden anderen außer Kraft, da ein explizites deny ein allowimmer überschreibt. Weitere Informationen zur Richtlinienauswertungslogik finden Sie unter Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS. Das folgende Diagramm verdeutlicht das Konzept.

    Diagramm, das eine IAM-Richtlinienüberschreibung mit einer Amazon SQS SQS-Richtlinie zeigt. Bob missbraucht seinen Zugriff aufqueue_xyz, sodass es notwendig wird, seinen gesamten Zugriff auf die Warteschlange zu entfernen. Der einfachste Weg ist, eine Richtlinie hinzuzufügen, die ihm den Zugriff auf alle Aktionen für die Warteschlange verweigert. Diese Richtlinie setzt die beiden anderen außer Kraft, da ein explizites deny ein allowimmer überschreibt.

    Sie können der Amazon-SQS-Richtlinie auch eine Anweisung hinzufügen, die Bob alle Zugriffe auf die Warteschlange verweigert. Dies hat die gleiche Auswirkung wie das Hinzufügen einer IAM-Richtlinie, die Bob den Zugriff auf die Warteschlange verweigert. Beispiele von Richtlinien, die Amazon-SQS-Aktionen und -Ressourcen abdecken, finden Sie unter Grundlegende Beispiele für Amazon-SQS-Richtlinien. Weitere Informationen zum Erstellen von Amazon-SQS-Richtlinien finden Sie unter Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS.

Erforderliche Berechtigungen zur Verwendung der Amazon-SQS-Konsole

Ein Benutzer, der mit der Amazon-SQS-Konsole arbeiten möchte, muss über die Mindestmenge an Berechtigungen verfügen, die es ihm erlauben, die Amazon-SQS-Warteschlangen im AWS-Konto des Benutzers zu verwenden. Beispielsweise muss der Benutzer über die Berechtigung zum Aufruf der Aktion ListQueues verfügen, um Warteschlangen aufzulisten, oder über die Berechtigung zum Aufruf der Aktion CreateQueue, um Warteschlangen erstellen zu können. Zusätzlich zu den Amazon-SQS-Berechtigungen erfordert die Konsole zum Abonnieren einer Amazon-SQS-Warteschlange für ein Amazon-SNS-Thema Berechtigungen für Amazon-SNS-Aktionen.

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole möglicherweise nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie.

Sie müssen Benutzern, die nur die Aktionen AWS CLI oder Amazon SQS aufrufen, keine Mindestberechtigungen für die Konsole gewähren.