CloudTrail Amazon SQS 데드레터 큐 리드라이브에 대한 업데이트 및 권한 요구 사항 - Amazon Simple Queue Service
CloudTrail 이벤트 이름 변경업데이트된 권한영향을 받는 정책 식별

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail Amazon SQS 데드레터 큐 리드라이브에 대한 업데이트 및 권한 요구 사항

2023년 6월 8일, Amazon SQS는 SDK AWS 및 (CLI) 용 데드레터 큐 (DLQ) 재드라이브를 도입했습니다. AWS Command Line Interface 이 기능은 이미 지원되는 콘솔용 DLQ 리드라이브에 추가된 기능입니다. AWS 이전에 AWS 콘솔을 사용하여 데드레터 큐 메시지를 다시 구동한 적이 있다면 다음 변경 사항의 영향을 받을 수 있습니다.

CloudTrail 이벤트 이름 변경

2023년 10월 15일에 Amazon SQS 콘솔에서 데드레터 큐 재드라이브의 CloudTrail 이벤트 이름이 변경됩니다. 이러한 CloudTrail 이벤트에 대해 경보를 설정한 경우 지금 업데이트해야 합니다. DLQ redrive의 새 CloudTrail 이벤트 이름은 다음과 같습니다.

이전 이벤트 이름 새로운 이벤트 이름

CreateMoveTask

StartMessageMoveTask

CancelMoveTask

CancelMessageMoveTask

업데이트된 권한

SDK 및 CLI 릴리스에 포함된 Amazon SQS는 보안 모범 사례를 준수하기 위해 DLQ 리드라이브에 대한 대기열 권한도 업데이트했습니다. 다음 대기열 권한 유형을 사용하여 DLQ에서 메시지를 리드라이브하세요.

  1. 작업 기반 권한(DLQ API 작업에 대한 업데이트)

  2. 관리형 Amazon SQS 정책 권한

  3. sqs:* 와일드카드를 사용하는 권한 정책

중요

SDK 또는 CLI용 DLQ 리드라이브를 사용하려면 위의 옵션 중 하나와 일치하는 DLQ 리드라이브 권한 정책이 있어야 합니다.

DLQ 리드라이브에 대한 대기열 권한이 위의 옵션 중 하나와 일치하지 않는 경우 2023년 8월 31일까지 권한을 업데이트해야 합니다. 지금부터 2023년 8월 31일까지는 이전에 DLQ 리드라이브를 사용한 리전에서만 AWS 콘솔을 통해 구성한 권한을 사용하여 메시지를 리드라이브할 수 있습니다. 예를 들어, us-east-1과 eu-west-1에 모두 '계정 A'가 있다고 가정해 보겠습니다. '계정 A'는 2023년 6월 8일 이전에 us-east-1의 AWS 콘솔에서 메시지를 재전송하는 데 사용되었지만 eu-west-1에서는 사용되지 않았습니다. 2023년 6월 8일부터 2023년 8월 31일 사이에 “계정 A의” 정책 권한이 위의 옵션 중 하나와 일치하지 않는 경우, AWS 콘솔의 us-east-1에서는 메시지를 재전송하는 데만 사용할 수 있으며 eu-west-1에서는 사용할 수 없습니다.

중요

2023년 8월 31일 이후에 DLQ 리드라이브 권한이 이러한 옵션 중 하나와 일치하지 않는 경우 계정은 더 이상 AWS 콘솔을 사용하여 DLQ 메시지를 리드라이브할 수 없게 됩니다.

하지만 2023년 8월에 AWS 콘솔에서 DLQ 리드라이브 기능을 사용한 경우 2023년 10월 15일까지 이러한 옵션 중 하나에 따라 새 권한을 채택할 수 있습니다.

자세한 정보는 영향을 받는 정책 식별을 참조하세요.

다음은 각 DLQ 리드라이브 옵션에 대한 대기열 권한 예제입니다. 서버 측 암호화 (SSE) 대기열을 사용하는 경우 해당 키 권한이 필요합니다. AWS KMS

작업 기반

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:StartMessageMoveTask",
        "sqs:ListMessageMoveTasks",
        "sqs:CancelMessageMoveTask"
      ],
      "Resource": "arn:aws:sqs:<DLQ_region>:<DLQ_accountId>:<DLQ_name>"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>"
    }
  ]
}

관리형 정책

다음 관리형 정책에는 업데이트된 필수 권한이 포함됩니다.

  • AmazonSQS FullAccess — 데드레터 대기열 재구동 작업 (시작, 취소, 목록 표시) 이 포함됩니다.

  • AmazonSQS ReadOnly Access — 읽기 전용 액세스를 제공하며 데드 레터 대기열 목록 재드라이브 작업을 포함합니다.

Amazon SQS는 데드레터 대기열 재구동 작업 및 읽기 전용 액세스에 대한 작업을 시작, 취소 및 나열할 수 있는 권한 정책을 AmazonSQSFullAccess 보여줍니다. AmazonSQSReadOnlyAccess

sqs* 와일드카드를 사용하는 권한 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "*"
    }
  ]
}

영향을 받는 정책 식별

고객 관리형 정책 (CMP) 을 사용하는 AWS CloudTrail 경우 IAM을 사용하여 대기열 권한 업데이트의 영향을 받는 정책을 식별할 수 있습니다.

참고

AmazonSQSFullAccessAmazonSQSReadOnlyAccess를 사용하는 경우 추가 조치가 필요하지 않습니다.

  1. 콘솔에 로그인합니다. AWS CloudTrail

  2. 이벤트 기록 페이지의 속성 조회에서 드롭다운 메뉴를 사용하여 이벤트 이름을 선택합니다. 그런 다음 CreateMoveTask를 검색합니다.

  3. 세부 정보 페이지를 열려면 이벤트를 선택합니다. 이벤트 레코드 섹션에서 userIdentity ARN의 UserName 또는 RoleName을 검색합니다.

  4. IAM 콘솔에 로그인합니다.

    • 사용자의 경우 사용자를 선택합니다. 이전 단계에서 식별된 UserName 사용자를 선택합니다.

    • 역할에서 역할을 선택합니다. 이전 단계에서 식별된 RoleName 사용자를 검색합니다.

  5. 세부 정보 페이지의 권한 섹션에서 Action의 접두사가 sqs:인 정책을 검토하거나 Resource에서 정의된 Amazon SQS 대기열이 있는 정책을 검토합니다.