Utilizzo di Amazon SQS e delle IAM politiche Autorizzazioni necessarie per utilizzare la console Amazon SQS

Utilizzo delle politiche con Amazon SQS

Questo argomento fornisce esempi di politiche basate sull'identità in cui un amministratore di account può associare criteri di autorizzazione alle IAM identità (utenti, gruppi e ruoli).

Importante

In primo luogo, è consigliabile esaminare gli argomenti introduttivi in cui vengono spiegati i concetti di base e le opzioni disponibili per gestire l'accesso alle risorse di Amazon Simple Queue Service. Per ulteriori informazioni, consulta Panoramica della gestione degli accessi in Amazon SQS.

Ad eccezione diListQueues, tutte le azioni di Amazon supportano SQS le autorizzazioni a livello di risorsa. Per ulteriori informazioni, consulta SQSAPIAutorizzazioni Amazon: azioni e riferimenti alle risorse.

Argomenti

Utilizzo di Amazon SQS e delle IAM politiche

Esistono due modi per concedere ai tuoi utenti le autorizzazioni per accedere alle tue SQS risorse Amazon: utilizzando il sistema di SQS policy di Amazon (politiche basate sulle risorse) e utilizzando il sistema di IAM policy (politiche basate sull'identità). Puoi utilizzare uno o entrambi i metodi, ad eccezione dell'ListQueuesazione, che è un'autorizzazione regionale che può essere impostata solo in una politica. IAM

Ad esempio, il diagramma seguente mostra una IAM politica e una SQS politica Amazon equivalente ad essa. La IAM politica concede i diritti su Amazon SQS ReceiveMessage e SendMessage le azioni relative alla coda richiamata queue_xyz nel tuo AWS account e la politica è allegata agli utenti di nome Bob e Susan (Bob e Susan dispongono delle autorizzazioni indicate nella politica). Questa SQS politica di Amazon concede inoltre a Bob e Susan i diritti ReceiveMessage e SendMessage le azioni per la stessa coda.

Nota

L'esempio seguente mostra politiche semplici senza condizioni. Puoi specificare una particolare condizione in una qualsiasi delle policy e ottenere lo stesso risultato.

Diagramma che confronta una IAM politica e una SQS politica Amazon equivalente ad essa. La IAM politica concede i diritti su Amazon SQS ReceiveMessage e SendMessage le azioni relative alla coda richiamata queue_xyz nel tuo AWS account e la politica è allegata agli utenti di nome Bob e Susan (Bob e Susan dispongono delle autorizzazioni indicate nella politica). Questa SQS politica di Amazon concede inoltre a Bob e Susan i diritti ReceiveMessage e SendMessage le azioni per la stessa coda.

C'è una grande differenza tra IAM le SQS politiche di Amazon: il sistema di SQS policy di Amazon ti consente di concedere l'autorizzazione ad altri AWS account, mentre IAM non lo fa.

Sta a te decidere se utilizzare insieme i sistemi per gestire le autorizzazioni. Gli esempi seguenti mostrano il modo in cui i due sistemi di policy interagiscono.

Nel primo esempio, Bob ha sia una IAM politica che una SQS politica Amazon che si applicano al suo account. La IAM politica concede al suo account l'autorizzazione per l'ReceiveMessageazionequeue_xyz, mentre la SQS politica di Amazon concede al suo account l'autorizzazione per l'SendMessageazione sulla stessa coda. Il diagramma seguente illustra questo concetto.

Se Bob invia una ReceiveMessage richiesta aqueue_xyz, la IAM policy consente l'azione. Se Bob invia una SendMessage richiesta aqueue_xyz, la SQS policy di Amazon consente l'azione.
Nel secondo esempio, Bob abusa del suo accesso a queue_xyz, pertanto è necessario rimuovere il suo intero accesso alla coda. La cosa più semplice da fare è aggiungere una policy che gli nega l'accesso a tutte le azioni per la coda. Questa policy sostituisce le altre due perché un deny esplicito sostituisce sempre un allow. Per ulteriori informazioni sulla logica di valutazione della policy, consulta Utilizzo di politiche personalizzate con Amazon SQS Access Policy Language. Il diagramma seguente illustra questo concetto.

Puoi anche aggiungere una dichiarazione aggiuntiva alla SQS policy di Amazon che nega a Bob qualsiasi tipo di accesso alla coda. Ha lo stesso effetto dell'aggiunta di una IAM politica che nega a Bob l'accesso alla coda. Per esempi di politiche che coprono le SQS azioni e le risorse di Amazon, consultaEsempi di base delle SQS politiche di Amazon. Per ulteriori informazioni sulla stesura delle SQS politiche di Amazon, consultaUtilizzo di politiche personalizzate con Amazon SQS Access Policy Language.

Autorizzazioni necessarie per utilizzare la console Amazon SQS

Un utente che desidera lavorare con la SQS console Amazon deve disporre del set minimo di autorizzazioni per lavorare con le SQS code Amazon dell'utente. Account AWS Ad esempio, l'utente deve avere l'autorizzazione di chiamare l'azione ListQueues per essere in grado di elencare le code, o l'autorizzazione di chiamare l'azione CreateQueue per essere in grado di creare code. Oltre alle SQS autorizzazioni Amazon, per iscrivere una SQS coda Amazon a un SNS argomento Amazon, la console richiede anche le autorizzazioni per le azioni Amazon. SNS

Se crei una IAM politica più restrittiva delle autorizzazioni minime richieste, la console potrebbe non funzionare come previsto per gli utenti con quella politica. IAM

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso le SQS azioni AWS CLI o Amazon.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi

Esempi di policy basate su identità