Información general sobre la administración del acceso en Amazon SQS

Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso a un recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (usuarios, grupos y roles) y algunos servicios (como Amazon SQS) también permiten asociar políticas de permisos a recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios administrativos. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, especifica qué usuarios obtienen los permisos, para qué recurso obtienen los permisos y qué acciones específicas desea permitir en el recurso.

Recursos y operaciones de Amazon Simple Queue Service

En Amazon SQS, el único recurso es la cola. En las políticas se emplean nombres de recurso de Amazon (ARN) para identificar los recursos a los que se aplican las políticas. Los siguientes recursos tiene asociado un ARN único:

Tipo de recurso	Formato de ARN
Queue	arn:aws:sqs:region:account_id:queue_name

A continuación, se muestran ejemplos del formato de ARN para las colas:

• Un ARN para una cola denominada my_queue en la región Este de EE. UU. (Ohio), perteneciente a la cuenta 123456789012 de AWS:

  arn:aws:sqs:us-east-2:123456789012:my_queue

• Un ARN para una cola denominada my_queue en cada una de las diferentes regiones que Amazon SQS admite:

  arn:aws:sqs:*:123456789012:my_queue

• Un ARN que utiliza * o ? como carácter comodín para el nombre de la cola. En los siguientes ejemplos, el ARN coincide con todas las colas que tienen el prefijo my_prefix_:

  arn:aws:sqs:*:123456789012:my_prefix_*

Puede obtener el valor de ARN para una cola existente si llama a la acción GetQueueAttributes. El valor del atributo QueueArn es el ARN de la cola. Para obtener más información sobre los ARN, consulte ARN de IAM en la Guía del usuario de IAM.

Amazon SQS proporciona un conjunto de acciones que funcionan con el recurso de cola. Para obtener más información, consulte Permisos de la API de Amazon SQS: referencia de acciones y recursos.

Titularidad de los recursos

La Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un usuario o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

• Si utiliza las credenciales de la cuenta raíz de su Cuenta de AWS para crear una cola de Amazon SQS, la Cuenta de AWS será la propietaria del recurso (en Amazon SQS, el recurso es la cola de Amazon SQS).

• Si crea un usuario en la Cuenta de AWS y le concede permisos para crear una cola, el usuario podrá crearla. Sin embargo, la propietaria del recurso de cola será su Cuenta de AWS (a la que pertenece el usuario).

• Si crea un rol de IAM en su Cuenta de AWS con permisos para crear una cola de Amazon SQS, cualquier persona que pueda asumir el rol podrá crear una cola. Sin embargo, la propietaria del recurso de cola será su Cuenta de AWS (a la que pertenece el rol).

Administrar el acceso a los recursos

Una política de permisos describe los permisos concedidos a las cuentas. En la siguiente sección, se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección, se explica el uso de IAM en el contexto de Amazon SQS. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte What is IAM? (¿Qué es IAM?) en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos.

Políticas basadas en identidad (políticas de IAM y políticas de Amazon SQS)

Hay dos formas de proporcionar a los usuarios permisos para las colas de Amazon SQS: mediante el sistema de políticas de Amazon SQS y mediante el sistema de políticas de IAM. Puede utilizar cualquiera de estos sistemas, o ambos, para asociar políticas a usuarios o roles. En la mayoría de los casos, puede conseguir el mismo resultado mediante cualquiera de estos dos sistemas. Por ejemplo, puede hacer lo siguiente:

• Adjuntar una política de permisos a un usuario o un grupo de su cuenta: para conceder a un usuario permisos para crear una cola de Amazon SQS, adjunte una política de permisos a un usuario o a un grupo al que este pertenezca.

• Adjuntar una política de permisos a un usuario de otra Cuenta de AWS: para conceder a un usuario permisos para crear una cola de Amazon SQS, adjunte una política de permisos de Amazon SQS a un usuario de otra Cuenta de AWS.

  Los permisos entre cuentas no se aplican a las siguientes acciones:

  • AddPermission

  • CancelMessageMoveTask

  • CreateQueue

  • DeleteQueue

  • ListMessageMoveTask

  • ListQueues

  • ListQueueTags

  • RemovePermission

  • SetQueueAttributes

  • StartMessageMoveTask

  • TagQueue

  • UntagQueue

• Asociar una política de permisos a un rol (conceder permisos entre cuentas): para conceder permisos entre cuentas, adjunte una política de permisos basada en identidad a un rol de IAM. Por ejemplo, el administrador de la Cuenta de AWS A puede crear un rol para conceder permisos entre cuentas a la Cuenta de AWS B (o un servicio de AWS), tal y como se indica a continuación:

  • El administrador de ca Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permisos sobre los recursos de la cuenta A.

  • El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.

  • El administrador de la cuenta B delega el permiso para asumir el rol a todos los usuarios de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a colas de la cuenta A.

    nota

    Si desea conceder permisos a un servicio de AWS para que asuma la función, la entidad principal de la política de confianza también puede ser una entidad principal de un servicio de AWS.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

Aunque Amazon SQS funciona con las políticas de IAM tiene su propia infraestructura de políticas. Puede utilizar una política de Amazon SQS con una cola para especificar qué cuentas de AWS tienen acceso a la cola. Puede especificar el tipo de acceso y las condiciones (por ejemplo, una condición que concede permisos para utilizar SendMessage, ReceiveMessage si la solicitud se realiza antes del 31 de diciembre de 2010). Las acciones específicas para las que puede conceder permisos son un subconjunto de la lista general de acciones de Amazon SQS. Cuando se escribe una política de Amazon SQS y se especifica * para “permitir todas las acciones de Amazon SQS”, significa que un usuario puede realizar todas las acciones de este subconjunto.

En el siguiente diagrama, se ilustra el concepto de una de estas políticas básicas de Amazon SQS, que abarca el subconjunto de acciones. La política está dirigida a la cola queue_xyz y concede a la cuenta 1 de AWS y a la cuenta 2 de AWS permisos para utilizar cualquiera de las acciones permitidas con la cola especificada.

nota

El recurso de la política se especifica como 123456789012/queue_xyz, donde 123456789012 es el ID de cuenta de AWS asignado a la cuenta propietaria de la cola.

Con la introducción de IAM y los conceptos de usuarios y nombres de recursos de Amazon (ARN), han cambiado algunas cosas con respecto a las políticas de SQS. En el diagrama y la tabla siguientes se describen estos cambios.

Para obtener información acerca de cómo conceder permisos a usuarios de distintas cuentas, consulte Tutorial: delegación del acceso entre cuentas de AWS mediante roles de IAM en la Guía del usuario de IAM.

El subconjunto de acciones incluidas en * se ha ampliado. Para obtener una lista de las acciones permitidas, consulte Permisos de la API de Amazon SQS: referencia de acciones y recursos.

Puede especificar el recurso mediante el nombre de recurso de Amazon (ARN), que es la forma estándar de especificar recursos en las políticas de IAM. Para obtener información acerca del formato de ARN para las colas de Amazon SQS, consulte Recursos y operaciones de Amazon Simple Queue Service.

Por ejemplo, de acuerdo con la política de Amazon SQS que se muestra en el diagrama anterior, cualquiera que posea las credenciales de seguridad de la cuenta 1 de AWS o de la cuenta 2 de AWS puede obtener acceso a queue_xyz. Además, los usuarios Bob y Susan de su propia cuenta de AWS (con el ID 123456789012) pueden obtener acceso a la cola.

Antes de la introducción de IAM, Amazon SQS concedía automáticamente al creador de una cola control total sobre esa cola (es decir, acceso a todas las posibles acciones de Amazon SQS en dicha cola). Esto ha cambiado, a menos que el creador utilice credenciales de seguridad de AWS. Cualquier usuario que tenga permisos para crear una cola debe contar también con permisos para utilizar otras acciones de Amazon SQS para poder realizar alguna acción con las colas creadas.

A continuación, se muestra una política de ejemplo que permite a un usuario utilizar todas las acciones de Amazon SQS, pero solo con las colas cuyos nombres tengan como prefijo la cadena literal bob_queue_.

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:123456789012:bob_queue_*"
   }]
}

Para obtener más información, consulte Uso de políticas con Amazon SQS e Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada recurso de Amazon Simple Queue Service, el servicio define un conjunto de acciones. Para conceder permisos a estas acciones, Amazon SQS define un conjunto de acciones que se pueden especificar en una política.

nota

Para realizar una acción de la , pueden ser necesarios permisos para más de una acción. Cuando se conceden permisos para acciones específicas, también debe identificar el recurso para el que las acciones se autorizan o deniegan.

A continuación se indican los elementos más básicos de la política:

• Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.

• Acción: utilice palabras de clave de acción para identificar las acciones de recursos que desea permitir o denegar. Por ejemplo, cuando se concede el permiso sqs:CreateQueue, el usuario puede realizar la acción CreateQueue de Amazon Simple Queue Service.

• Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

• Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de Amazon SQS, consulte Referencia de la política de AWS IAM en la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de Amazon Simple Queue Service y los recursos a los que se aplican, consulte Permisos de la API de Amazon SQS: referencia de acciones y recursos.