CloudTrail requisitos de actualización y permiso para la reactivación de colas de cartas muertas de Amazon SQS - Amazon Simple Queue Service
CloudTrail cambio de nombre de eventosPermisos actualizadosIdentificación de las políticas afectadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CloudTrail requisitos de actualización y permiso para la reactivación de colas de cartas muertas de Amazon SQS

El 8 de junio de 2023, Amazon SQS introdujo el redrive de cola de letras muertas (DLQ) para AWS el SDK y (CLI). AWS Command Line Interface Esta capacidad se suma al redrive DLQ ya compatible con la consola. AWS Si ya utilizaste la AWS consola para reimprimir los mensajes en cola con letra muerta, es posible que te afecten los siguientes cambios:

CloudTrail cambio de nombre de eventos

El 15 de octubre de 2023, cambiarán los nombres de los CloudTrail eventos de redrive de colas con letra muerta en la consola Amazon SQS. Si ha configurado alarmas para estos CloudTrail eventos, debe actualizarlas ahora. Los nuevos nombres de CloudTrail eventos de DLQ redrive son los siguientes:

Nombre de evento anterior Nombre de evento nuevo

CreateMoveTask

StartMessageMoveTask

CancelMoveTask

CancelMessageMoveTask

Permisos actualizados

Incluido con el lanzamiento del SDK y CLI, Amazon SQS también ha actualizado los permisos de cola para el redireccionamiento de DLQ a fin de cumplir con las prácticas recomendadas de seguridad. Utilice los siguientes tipos de permisos de cola para redireccionar mensajes de las DLQ.

  1. Permisos basados en acciones (actualización de las acciones de la API de DLQ)

  2. Permisos de política de Amazon SQS

  3. Política de permisos que utiliza caracteres comodín sqs:*

importante

Para utilizar el redireccionamiento de DLQ para SDK o CLI, es necesario disponer de una política de permisos de redireccionamiento de DLQ que coincida con una de las opciones anteriores.

Si sus permisos de cola para el redireccionamiento de DLQ no coinciden con alguna de las opciones anteriores, deberá actualizarlos antes del 31 de agosto de 2023. Desde ahora hasta el 31 de agosto de 2023, su cuenta podrá redireccionar mensajes con los permisos que haya configurado a través de la consola de AWS solo en las regiones en las que haya utilizado anteriormente el redireccionamiento de DLQ. Por ejemplo, supongamos que tiene “Cuenta A” tanto en us-east-1 como en eu-west-1. La «Cuenta A» se utilizó para redirigir los mensajes de la AWS consola en us-east-1 antes del 8 de junio de 2023, pero no en eu-west-1. Entre el 8 de junio de 2023 y el 31 de agosto de 2023, si los permisos de la política de la «Cuenta A» no coinciden con una de las opciones anteriores, solo se pueden usar para redirigir los mensajes de la AWS consola en us-east-1 y no en eu-west-1.

importante

Si sus permisos de redireccionamiento de DLQ no coinciden con una de estas opciones después del 31 de agosto de 2023, su cuenta ya no podrá redireccionar mensajes de DLQ mediante la consola de AWS .

Sin embargo, si utilizaste la función de reaccionamiento de DLQ en la AWS consola durante agosto de 2023, dispones de una prórroga hasta el 15 de octubre de 2023 para adoptar los nuevos permisos según una de estas opciones.

Para obtener más información, consulte Identificación de las políticas afectadas.

A continuación, se muestran ejemplos de permisos de cola para cada opción de redireccionamiento de DLQ. Cuando se utilizan colas cifradas del lado del servidor (SSE), se requiere el permiso de clave correspondiente AWS KMS .

Basado en acciones

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:StartMessageMoveTask",
        "sqs:ListMessageMoveTasks",
        "sqs:CancelMessageMoveTask"
      ],
      "Resource": "arn:aws:sqs:<DLQ_region>:<DLQ_accountId>:<DLQ_name>"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>"
    }
  ]
}

Política administrada

Las siguientes políticas administradas contienen los permisos actualizados necesarios:

  • AmazonSQS FullAccess: incluye las siguientes tareas de redireccionamiento de colas con letra muerta: iniciar, cancelar y enumerar.

  • AmazonSQS ReadOnly Access: proporciona acceso de solo lectura e incluye la tarea de regenerar listas de colas con letra muerta.

Amazon SQS muestra la política de permisos AmazonSQSFullAccess para iniciar, cancelar y enumerar tareas para tareas de reactivación de colas con letra muerta y para acceso de solo lectura. AmazonSQSReadOnlyAccess

Política de permisos que utiliza caracteres comodín sqs*

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "*"
    }
  ]
}

Identificación de las políticas afectadas

Si utiliza políticas gestionadas por el cliente (CMP), puede utilizar AWS CloudTrail un IAM para identificar las políticas afectadas por la actualización de los permisos de colas.

nota

Si utiliza AmazonSQSFullAccess y AmazonSQSReadOnlyAccess, no es necesario realizar ninguna otra acción.

  1. Inicie sesión en la consola. AWS CloudTrail

  2. En la página Historial de eventos, en Buscar atributos, utilice el menú desplegable para seleccionar Nombre del evento. A continuación, busque CreateMoveTask.

  3. Elija un evento para abrir la página Detalles. En la sección Registros de eventos, recupere UserName o RoleName del ARN de userIdentity.

  4. Inicie sesión en la consola de IAM.

    • Para usuarios, seleccione Usuarios. Seleccione el usuario con el UserName identificado en el paso anterior.

    • Para roles, seleccione Roles. Busque el usuario con el RoleName identificado en el paso anterior.

  5. En la página Detalles, en la sección Permisos, revise las políticas que tengan el prefijo sqs: en Action o revise las políticas que tengan la cola de Amazon SQS definida en Resource.