Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan dengan Amazon SQS
Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).
penting
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Layanan Antrian Sederhana Amazon Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola akses di Amazon SQS.
Dengan pengecualianListQueues
, semua tindakan Amazon SQS mendukung izin tingkat sumber daya. Untuk informasi selengkapnya, lihat Izin Amazon SQS API: Tindakan dan referensi sumber daya.
Menggunakan kebijakan Amazon SQS dan IAM
Ada dua cara untuk memberikan izin kepada pengguna Anda ke sumber daya Amazon SQS Anda: menggunakan sistem kebijakan Amazon SQS (kebijakan berbasis sumber daya) dan menggunakan sistem kebijakan IAM (kebijakan berbasis identitas). Anda dapat menggunakan salah satu atau kedua metode, dengan pengecualian ListQueues
tindakan, yang merupakan izin regional yang hanya dapat diatur dalam kebijakan IAM.
Misalnya, diagram berikut menunjukkan kebijakan IAM dan kebijakan Amazon SQS yang setara dengannya. Kebijakan IAM memberikan hak atas Amazon ReceiveMessage
SQS SendMessage
dan tindakan untuk antrian yang queue_xyz
dipanggil di Akun AWS Anda, dan kebijakan tersebut dilampirkan ke pengguna bernama Bob dan Susan (Bob dan Susan memiliki izin yang tercantum dalam kebijakan). Kebijakan Amazon SQS ini juga memberi Bob dan Susan hak atas ReceiveMessage
dan SendMessage
tindakan untuk antrian yang sama.
catatan
Contoh berikut menunjukkan kebijakan sederhana tanpa kondisi. Anda dapat menentukan kondisi tertentu di salah satu kebijakan dan mendapatkan hasil yang sama.

Ada satu perbedaan utama antara kebijakan IAM dan Amazon SQS: sistem kebijakan Amazon SQS memungkinkan Anda memberikan izin ke Akun AWS lain, sedangkan IAM tidak.
Terserah Anda bagaimana Anda menggunakan kedua sistem bersama-sama untuk mengelola izin Anda. Contoh berikut menunjukkan cara sistem dua kebijakan bekerja sama.
-
Dalam contoh pertama, Bob memiliki kebijakan IAM dan kebijakan Amazon SQS yang berlaku untuk akunnya. Kebijakan IAM memberikan izin akunnya untuk
ReceiveMessage
tindakan tersebutqueue_xyz
, sedangkan kebijakan Amazon SQS memberikan izin akunnya untuk tindakan pada antrianSendMessage
yang sama. Diagram berikut menggambarkan konsep.Jika Bob mengirim
ReceiveMessage
permintaan kequeue_xyz
, kebijakan IAM mengizinkan tindakan tersebut. Jika Bob mengirimkanSendMessage
permintaan kequeue_xyz
, kebijakan Amazon SQS mengizinkan tindakan tersebut. -
Dalam contoh kedua, Bob menyalahgunakan aksesnya
queue_xyz
, sehingga menjadi perlu untuk menghapus seluruh aksesnya ke antrian. Hal termudah untuk dilakukan adalah menambahkan kebijakan yang menolaknya mengakses semua tindakan untuk antrian. Kebijakan ini mengesampingkan dua lainnya karena eksplisitdeny
selalu mengesampingkan.allow
Untuk informasi selengkapnya tentang logika evaluasi kebijakan, lihatMenggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS. Diagram berikut menggambarkan konsep.Anda juga dapat menambahkan pernyataan tambahan ke kebijakan Amazon SQS yang menolak Bob semua jenis akses ke antrian. Ini memiliki efek yang sama dengan menambahkan kebijakan IAM yang menolak akses Bob ke antrian. Untuk contoh kebijakan yang mencakup tindakan dan sumber daya Amazon SQS, lihat. Contoh dasar kebijakan Amazon SQS Untuk informasi selengkapnya tentang menulis kebijakan Amazon SQS, lihat. Menggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS
Izin diperlukan untuk menggunakan konsol Amazon SQS
Pengguna yang ingin bekerja dengan konsol Amazon SQS harus memiliki set izin minimum untuk bekerja dengan antrian Amazon SQS di pengguna. Akun AWS Misalnya, pengguna harus memiliki izin untuk memanggil ListQueues
tindakan untuk dapat membuat daftar antrian, atau izin untuk memanggil CreateQueue
tindakan untuk dapat membuat antrian. Selain izin Amazon SQS, untuk berlangganan antrian Amazon SQS ke topik Amazon SNS, konsol juga memerlukan izin untuk tindakan Amazon SNS.
Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol mungkin tidak berfungsi sebagaimana dimaksudkan untuk pengguna dengan kebijakan IAM tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang hanya melakukan panggilan ke tindakan Amazon SQS AWS CLI atau Amazon.