Menggunakan kebijakan dengan Amazon SQS - Amazon Simple Queue Service
Menggunakan kebijakan Amazon SQS dan IAMIzin diperlukan untuk menggunakan konsol Amazon SQS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan dengan Amazon SQS

Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Layanan Antrian Sederhana Amazon Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola akses di Amazon SQS.

Dengan pengecualianListQueues, semua tindakan Amazon SQS mendukung izin tingkat sumber daya. Untuk informasi selengkapnya, lihat Izin Amazon SQS API: Tindakan dan referensi sumber daya.

Menggunakan kebijakan Amazon SQS dan IAM

Ada dua cara untuk memberikan izin kepada pengguna Anda ke sumber daya Amazon SQS Anda: menggunakan sistem kebijakan Amazon SQS (kebijakan berbasis sumber daya) dan menggunakan sistem kebijakan IAM (kebijakan berbasis identitas). Anda dapat menggunakan salah satu atau kedua metode, dengan pengecualian ListQueues tindakan, yang merupakan izin regional yang hanya dapat diatur dalam kebijakan IAM.

Misalnya, diagram berikut menunjukkan kebijakan IAM dan kebijakan Amazon SQS yang setara dengannya. Kebijakan IAM memberikan hak atas Amazon ReceiveMessage SQS SendMessage dan tindakan untuk antrian yang queue_xyz dipanggil di Akun AWS Anda, dan kebijakan tersebut dilampirkan ke pengguna bernama Bob dan Susan (Bob dan Susan memiliki izin yang tercantum dalam kebijakan). Kebijakan Amazon SQS ini juga memberi Bob dan Susan hak atas ReceiveMessage dan SendMessage tindakan untuk antrian yang sama.

catatan

Contoh berikut menunjukkan kebijakan sederhana tanpa kondisi. Anda dapat menentukan kondisi tertentu di salah satu kebijakan dan mendapatkan hasil yang sama.

Diagram membandingkan kebijakan IAM dan kebijakan Amazon SQS yang setara dengannya. Kebijakan IAM memberikan hak atas Amazon ReceiveMessage SQS SendMessage dan tindakan untuk antrian yang queue_xyz dipanggil di Akun AWS Anda, dan kebijakan tersebut dilampirkan ke pengguna bernama Bob dan Susan (Bob dan Susan memiliki izin yang tercantum dalam kebijakan). Kebijakan Amazon SQS ini juga memberi Bob dan Susan hak atas ReceiveMessage dan SendMessage tindakan untuk antrian yang sama.

Ada satu perbedaan utama antara kebijakan IAM dan Amazon SQS: sistem kebijakan Amazon SQS memungkinkan Anda memberikan izin ke Akun AWS lain, sedangkan IAM tidak.

Terserah Anda bagaimana Anda menggunakan kedua sistem bersama-sama untuk mengelola izin Anda. Contoh berikut menunjukkan cara sistem dua kebijakan bekerja sama.

  • Dalam contoh pertama, Bob memiliki kebijakan IAM dan kebijakan Amazon SQS yang berlaku untuk akunnya. Kebijakan IAM memberikan izin akunnya untuk ReceiveMessage tindakan tersebutqueue_xyz, sedangkan kebijakan Amazon SQS memberikan izin akunnya untuk tindakan pada antrian SendMessage yang sama. Diagram berikut menggambarkan konsep.

    Diagram membandingkan komponen kebijakan IAM dengan kebijakan Amazon SQS. Dalam contoh pertama, Bob memiliki kebijakan IAM dan kebijakan Amazon SQS yang berlaku untuk akunnya. Kebijakan IAM memberikan izin akunnya untuk ReceiveMessage tindakan tersebutqueue_xyz, sedangkan kebijakan Amazon SQS memberikan izin akunnya untuk tindakan pada antrian SendMessage yang sama.

    Jika Bob mengirim ReceiveMessage permintaan kequeue_xyz, kebijakan IAM mengizinkan tindakan tersebut. Jika Bob mengirimkan SendMessage permintaan kequeue_xyz, kebijakan Amazon SQS mengizinkan tindakan tersebut.

  • Dalam contoh kedua, Bob menyalahgunakan aksesnyaqueue_xyz, sehingga menjadi perlu untuk menghapus seluruh aksesnya ke antrian. Hal termudah untuk dilakukan adalah menambahkan kebijakan yang menolaknya mengakses semua tindakan untuk antrian. Kebijakan ini mengesampingkan dua lainnya karena eksplisit deny selalu mengesampingkan. allow Untuk informasi selengkapnya tentang logika evaluasi kebijakan, lihatMenggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS. Diagram berikut menggambarkan konsep.

    Diagram yang menunjukkan penggantian kebijakan IAM dengan kebijakan Amazon SQS. Bob menyalahgunakan aksesnyaqueue_xyz, sehingga menjadi perlu untuk menghapus seluruh aksesnya ke antrian. Hal termudah untuk dilakukan adalah menambahkan kebijakan yang menolaknya mengakses semua tindakan untuk antrian. Kebijakan ini mengesampingkan dua lainnya karena eksplisit deny selalu mengesampingkan. allow

    Anda juga dapat menambahkan pernyataan tambahan ke kebijakan Amazon SQS yang menolak Bob semua jenis akses ke antrian. Ini memiliki efek yang sama dengan menambahkan kebijakan IAM yang menolak akses Bob ke antrian. Untuk contoh kebijakan yang mencakup tindakan dan sumber daya Amazon SQS, lihat. Contoh dasar kebijakan Amazon SQS Untuk informasi selengkapnya tentang menulis kebijakan Amazon SQS, lihat. Menggunakan kebijakan khusus dengan Bahasa Kebijakan Akses Amazon SQS

Izin diperlukan untuk menggunakan konsol Amazon SQS

Pengguna yang ingin bekerja dengan konsol Amazon SQS harus memiliki set izin minimum untuk bekerja dengan antrian Amazon SQS di pengguna. Akun AWS Misalnya, pengguna harus memiliki izin untuk memanggil ListQueues tindakan untuk dapat membuat daftar antrian, atau izin untuk memanggil CreateQueue tindakan untuk dapat membuat antrian. Selain izin Amazon SQS, untuk berlangganan antrian Amazon SQS ke topik Amazon SNS, konsol juga memerlukan izin untuk tindakan Amazon SNS.

Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol mungkin tidak berfungsi sebagaimana dimaksudkan untuk pengguna dengan kebijakan IAM tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang hanya melakukan panggilan ke tindakan Amazon SQS AWS CLI atau Amazon.