CloudTrail persyaratan pembaruan dan izin untuk redrive antrian surat mati Amazon SQS - Amazon Simple Queue Service
CloudTrail penggantian nama acaraIzin yang diperbaruiMengidentifikasi kebijakan yang terkena dampak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail persyaratan pembaruan dan izin untuk redrive antrian surat mati Amazon SQS

Pada 8 Juni 2023, Amazon SQS memperkenalkan redrive antrian huruf mati (DLQ) untuk SDK dan (CLI). AWS AWS Command Line Interface Kemampuan ini merupakan tambahan untuk redrive DLQ yang sudah didukung untuk konsol. AWS Jika sebelumnya Anda telah menggunakan AWS konsol untuk mengarahkan ulang pesan antrian huruf mati, Anda mungkin terpengaruh oleh perubahan berikut:

CloudTrail penggantian nama acara

Pada 15 Oktober 2023, nama CloudTrail acara untuk redrive antrian huruf mati akan berubah di konsol Amazon SQS. Jika Anda telah menyetel alarm untuk CloudTrail acara ini, Anda harus memperbaruinya sekarang. Berikut ini adalah nama CloudTrail acara baru untuk DLQ redrive:

Nama acara sebelumnya Nama acara baru

CreateMoveTask

StartMessageMoveTask

CancelMoveTask

CancelMessageMoveTask

Izin yang diperbarui

Termasuk dengan rilis SDK dan CLI, Amazon SQS juga telah memperbarui izin antrian untuk redrive DLQ untuk mematuhi praktik terbaik keamanan. Gunakan jenis izin antrian berikut untuk mengarahkan ulang pesan dari DLQ Anda.

  1. Izin berbasis tindakan (pembaruan untuk tindakan API DLQ)

  2. Izin kebijakan Amazon SQS terkelola

  3. Kebijakan izin yang menggunakan sqs:* wildcard

penting

Untuk menggunakan redrive DLQ untuk SDK atau CLI, Anda harus memiliki kebijakan izin redrive DLQ yang cocok dengan salah satu opsi di atas.

Jika izin antrian Anda untuk drive ulang DLQ tidak cocok dengan salah satu opsi di atas, Anda harus memperbarui izin Anda sebelum 31 Agustus 2023. Antara sekarang dan 31 Agustus 2023, akun Anda akan dapat menggerakkan ulang pesan menggunakan izin yang Anda konfigurasikan menggunakan AWS konsol hanya di wilayah tempat Anda sebelumnya menggunakan drive ulang DLQ. Misalnya, Anda memiliki “Akun A” di us-east-1 dan eu-west-1. “Akun A” digunakan untuk menggerakkan ulang pesan di AWS konsol di us-east-1 sebelum 8 Juni 2023, tetapi tidak di eu-west-1. Antara 8 Juni 2023 dan 31 Agustus 2023, jika izin kebijakan “Akun A” tidak cocok dengan salah satu opsi di atas, itu hanya dapat digunakan untuk menggerakkan ulang pesan di konsol AWS di us-east-1, dan bukan di eu-west-1.

penting

Jika izin redrive DLQ Anda tidak cocok dengan salah satu opsi ini setelah 31 Agustus 2023, akun Anda tidak akan lagi dapat menggerakkan ulang pesan DLQ menggunakan konsol. AWS

Namun, jika Anda menggunakan fitur redrive DLQ di AWS Konsol selama Agustus 2023, Anda memiliki ekstensi hingga 15 Oktober 2023 untuk mengadopsi izin baru sesuai dengan salah satu opsi ini.

Untuk informasi selengkapnya, lihat Mengidentifikasi kebijakan yang terkena dampak.

Berikut ini adalah contoh izin antrian untuk setiap opsi redrive DLQ. Saat menggunakan antrian terenkripsi sisi server (SSE), izin kunci yang sesuai diperlukan. AWS KMS

Berbasis aksi

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:StartMessageMoveTask",
        "sqs:ListMessageMoveTasks",
        "sqs:CancelMessageMoveTask"
      ],
      "Resource": "arn:aws:sqs:<DLQ_region>:<DLQ_accountId>:<DLQ_name>"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>"
    }
  ]
}

Kebijakan terkelola

Kebijakan terkelola berikut berisi izin diperbarui yang diperlukan:

  • AmazonSQS FullAccess - Termasuk tugas redrive antrian huruf mati berikut: mulai, batalkan, dan daftar.

  • Akses AmazonSQS - Menyediakan ReadOnly akses hanya-baca, dan menyertakan daftar tugas redrive antrian huruf mati.

Amazon SQS yang menampilkan kebijakan izin AmazonSQSFullAccess untuk memulai, membatalkan, dan mencantumkan tugas untuk tugas penggerak ulang antrian huruf mati, dan untuk akses hanya-baca. AmazonSQSReadOnlyAccess

Kebijakan Izin yang menggunakan sqs* wildcard

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "*"
    }
  ]
}

Mengidentifikasi kebijakan yang terkena dampak

Jika Anda menggunakan kebijakan terkelola pelanggan (CMP), Anda dapat menggunakan AWS CloudTrail dan IAM untuk mengidentifikasi kebijakan yang dipengaruhi oleh pembaruan izin antrian.

catatan

Jika Anda menggunakan AmazonSQSFullAccess danAmazonSQSReadOnlyAccess, tidak ada tindakan lebih lanjut yang diperlukan.

  1. Masuk ke AWS CloudTrail konsol.

  2. Pada halaman Riwayat acara, di bawah Cari atribut, gunakan menu tarik-turun untuk memilih nama Acara. Kemudian, cariCreateMoveTask.

  3. Pilih acara untuk membuka halaman Detail. Di bagian Catatan peristiwa, ambil UserName atau RoleName dari userIdentity ARN.

  4. Masuk ke konsol IAM.

    • Untuk pengguna, pilih Pengguna. Pilih pengguna dengan yang UserName diidentifikasi pada langkah sebelumnya.

    • Untuk peran, pilih Peran. Cari pengguna dengan yang RoleName diidentifikasi pada langkah sebelumnya.

  5. Pada halaman Detail, di bagian Izin, tinjau kebijakan apa pun dengan sqs: awalan diAction, atau tinjau kebijakan yang menentukan antrean Amazon SQS. Resource