기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CloudTrail Amazon SQS 데드레터 큐 리드라이브에 대한 업데이트 및 권한 요구 사항
2023년 6월 8일, Amazon SQS는 SDK AWS 및 (CLI) 용 데드레터 큐 (DLQ) 재드라이브를 도입했습니다. AWS Command Line Interface 이 기능은 이미 지원되는 콘솔용 DLQ 리드라이브에 추가된 기능입니다. AWS 이전에 AWS 콘솔을 사용하여 데드레터 큐 메시지를 다시 구동한 적이 있다면 다음 변경 사항의 영향을 받을 수 있습니다.
CloudTrail 이벤트 이름 변경
2023년 10월 15일에 Amazon SQS 콘솔에서 데드레터 큐 재드라이브의 CloudTrail 이벤트 이름이 변경됩니다. 이러한 CloudTrail 이벤트에 대해 경보를 설정한 경우 지금 업데이트해야 합니다. DLQ redrive의 새 CloudTrail 이벤트 이름은 다음과 같습니다.
이전 이벤트 이름 | 새로운 이벤트 이름 |
---|---|
|
|
|
|
업데이트된 권한
SDK 및 CLI 릴리스에 포함된 Amazon SQS는 보안 모범 사례를 준수하기 위해 DLQ 리드라이브에 대한 대기열 권한도 업데이트했습니다. 다음 대기열 권한 유형을 사용하여 DLQ에서 메시지를 리드라이브하세요.
-
작업 기반 권한(DLQ API 작업에 대한 업데이트)
-
관리형 Amazon SQS 정책 권한
-
sqs:* 와일드카드를 사용하는 권한 정책
중요
SDK 또는 CLI용 DLQ 리드라이브를 사용하려면 위의 옵션 중 하나와 일치하는 DLQ 리드라이브 권한 정책이 있어야 합니다.
DLQ 리드라이브에 대한 대기열 권한이 위의 옵션 중 하나와 일치하지 않는 경우 2023년 8월 31일까지 권한을 업데이트해야 합니다. 지금부터 2023년 8월 31일까지는 이전에 DLQ 리드라이브를 사용한 리전에서만 AWS 콘솔을 통해 구성한 권한을 사용하여 메시지를 리드라이브할 수 있습니다. 예를 들어, us-east-1과 eu-west-1에 모두 '계정 A'가 있다고 가정해 보겠습니다. '계정 A'는 2023년 6월 8일 이전에 us-east-1의 AWS 콘솔에서 메시지를 재전송하는 데 사용되었지만 eu-west-1에서는 사용되지 않았습니다. 2023년 6월 8일부터 2023년 8월 31일 사이에 “계정 A의” 정책 권한이 위의 옵션 중 하나와 일치하지 않는 경우, AWS 콘솔의 us-east-1에서는 메시지를 재전송하는 데만 사용할 수 있으며 eu-west-1에서는 사용할 수 없습니다.
중요
2023년 8월 31일 이후에 DLQ 리드라이브 권한이 이러한 옵션 중 하나와 일치하지 않는 경우 계정은 더 이상 AWS 콘솔을 사용하여 DLQ 메시지를 리드라이브할 수 없게 됩니다.
하지만 2023년 8월에 AWS 콘솔에서 DLQ 리드라이브 기능을 사용한 경우 2023년 10월 15일까지 이러한 옵션 중 하나에 따라 새 권한을 채택할 수 있습니다.
자세한 정보는 영향을 받는 정책 식별을 참조하세요.
다음은 각 DLQ 리드라이브 옵션에 대한 대기열 권한 예제입니다. 서버 측 암호화 (SSE) 대기열을 사용하는 경우 해당 키 권한이 필요합니다. AWS KMS
작업 기반
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sqs:ReceiveMessage", "sqs:DeleteMessage", "sqs:GetQueueAttributes", "sqs:StartMessageMoveTask", "sqs:ListMessageMoveTasks", "sqs:CancelMessageMoveTask" ], "Resource": "arn:aws:sqs:<DLQ_region>:<DLQ_accountId>:<DLQ_name>" }, { "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>" } ] }
관리형 정책
다음 관리형 정책에는 업데이트된 필수 권한이 포함됩니다.
-
AmazonSQS FullAccess — 데드레터 대기열 재구동 작업 (시작, 취소, 목록 표시) 이 포함됩니다.
-
AmazonSQS ReadOnly Access — 읽기 전용 액세스를 제공하며 데드 레터 대기열 목록 재드라이브 작업을 포함합니다.
sqs* 와일드카드를 사용하는 권한 정책
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sqs:*", "Resource": "*" } ] }
영향을 받는 정책 식별
고객 관리형 정책 (CMP) 을 사용하는 AWS CloudTrail 경우 IAM을 사용하여 대기열 권한 업데이트의 영향을 받는 정책을 식별할 수 있습니다.
참고
AmazonSQSFullAccess
및 AmazonSQSReadOnlyAccess
를 사용하는 경우 추가 조치가 필요하지 않습니다.
-
콘솔에 로그인합니다. AWS CloudTrail
-
이벤트 기록 페이지의 속성 조회에서 드롭다운 메뉴를 사용하여 이벤트 이름을 선택합니다. 그런 다음
CreateMoveTask
를 검색합니다. -
세부 정보 페이지를 열려면 이벤트를 선택합니다. 이벤트 레코드 섹션에서
userIdentity
ARN의UserName
또는RoleName
을 검색합니다. -
IAM 콘솔에 로그인합니다.
-
사용자의 경우 사용자를 선택합니다. 이전 단계에서 식별된
UserName
사용자를 선택합니다. -
역할에서 역할을 선택합니다. 이전 단계에서 식별된
RoleName
사용자를 검색합니다.
-
-
세부 정보 페이지의 권한 섹션에서
Action
의 접두사가sqs:
인 정책을 검토하거나Resource
에서 정의된 Amazon SQS 대기열이 있는 정책을 검토합니다.