Amazon에서 정책 사용 SQS - Amazon Simple Queue Service
아마존 SQS 및 IAM 정책 사용Amazon SQS 콘솔을 사용하는 데 필요한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon에서 정책 사용 SQS

이 항목에서는 계정 관리자가 권한 정책을 ID (사용자, 그룹, 역할) 에 연결할 수 있는 IAM ID 기반 정책의 예를 제공합니다.

중요

Amazon Simple Queue Service 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명에 대한 소개 주제 부분을 먼저 읽어 보는 것이 좋습니다. 자세한 내용은 Amazon에서의 액세스 관리 개요 SQS 단원을 참조하십시오.

를 제외한 모든 Amazon SQS 작업은 리소스 수준 권한을 지원합니다. ListQueues 자세한 내용은 Amazon SQS API 권한: 작업 및 리소스 참조 단원을 참조하십시오.

주제

아마존 SQS 및 IAM 정책 사용

사용자에게 Amazon SQS 리소스에 대한 권한을 부여하는 두 가지 방법이 있습니다. 하나는 Amazon SQS 정책 시스템 (리소스 기반 정책) 을 사용하는 것이고 다른 하나는 정책 시스템 (ID 기반 IAM 정책) 을 사용하는 것입니다. 한 가지 또는 두 가지 방법을 모두 사용할 수 있습니다. 단, ListQueues 정책에서만 설정할 수 있는 지역 권한인 작업은 예외입니다. IAM

예를 들어, 다음 다이어그램은 IAM 정책과 이에 상응하는 Amazon SQS 정책을 보여줍니다. 이 IAM 정책은 Amazon에 대한 SQS ReceiveMessage 권한과 사용자가 queue_xyz 호출한 대기열에 대한 SendMessage 작업을 수행합니다. AWS 계정과 정책은 Bob and Susan이라는 사용자에게 연결됩니다 (Bob과 Susan은 정책에 명시된 권한을 가짐). 또한 이 Amazon SQS 정책은 Bob과 Susan에게 동일한 대기열에 대한 ReceiveMessageSendMessage 작업에 대한 권한을 부여합니다.

참고

다음 예시는 조건 없는 간단한 정책을 보여줍니다. 두 정책 중 어느 쪽에서도 특정 조건을 지정하고 동일한 결과를 얻을 수 있습니다.

IAM정책과 이에 상응하는 Amazon SQS 정책을 비교한 다이어그램 이 IAM 정책은 Amazon에 대한 SQS ReceiveMessage 권한과 사용자가 queue_xyz 호출한 대기열에 대한 SendMessage 작업을 수행합니다. AWS 계정과 정책은 Bob and Susan이라는 사용자에게 연결됩니다 (Bob과 Susan은 정책에 명시된 권한을 가짐). 또한 이 Amazon SQS 정책은 Bob과 Susan에게 동일한 대기열에 대한 ReceiveMessage 및 SendMessage 작업에 대한 권한을 부여합니다.

IAM와 Amazon SQS 정책 간에는 한 가지 주요 차이점이 있습니다. Amazon SQS 정책 시스템을 사용하면 다른 사람에게 권한을 부여할 수 있습니다. AWS 반면 계정은 그렇지 IAM 않습니다.

사용자의 필요에 따라 두 시스템을 함께 사용하여 권한을 관리해야 합니다. 다음 예는 두 정책 시스템이 어떻게 연계하는지 보여줍니다.

  • 첫 번째 예에서 Bob은 자신의 계정에 적용되는 IAM SQS 정책과 Amazon 정책을 모두 가지고 있습니다. IAM정책은 그의 계정에 해당 ReceiveMessage 작업에 대한 권한을 부여하는 반면queue_xyz, Amazon SQS 정책은 그의 계정에 동일한 대기열에 있는 SendMessage 작업에 대한 권한을 부여합니다. 다음 다이어그램에서 관련 개념을 설명합니다.

    정책 구성 요소를 Amazon IAM SQS 정책과 비교한 다이어그램 첫 번째 예에서 Bob은 자신의 계정에 적용되는 IAM SQS 정책과 Amazon 정책을 모두 가지고 있습니다. IAM정책은 그의 계정에 해당 ReceiveMessage 작업에 대한 권한을 부여하는 반면queue_xyz, Amazon SQS 정책은 그의 계정에 동일한 대기열에 있는 SendMessage 작업에 대한 권한을 부여합니다.

    Bob이 ReceiveMessage 요청을 에 queue_xyz 보내면 IAM 정책에서 해당 작업을 허용합니다. Bob이 SendMessage 요청을 queue_xyz 보내면 Amazon SQS 정책에서 해당 작업을 허용합니다.

  • 두 번째 예에서 Bob은 queue_xyz에 대한 액세스 권한을 침해하므로, 해당 대기열에 대한 전체 액세스 권한을 제거해야 합니다. 가장 쉬운 방법은 모든 대기열 작업에 대한 Bob의 액세스를 거부하는 정책을 추가하는 것입니다. 명시적 deny는 항상 allow를 무시하기 때문에 이 정책은 다른 2개 정책을 무시합니다. 정책 평가 로직에 대한 자세한 내용은 Amazon SQS Access 정책 언어와 함께 사용자 지정 정책 사용를 참조하십시오. 다음 다이어그램에서 관련 개념을 설명합니다.

    Amazon SQS 정책을 통한 IAM 정책 재정의를 보여주는 다이어그램. 밥은 에 대한 액세스 권한을 queue_xyz 남용하므로 대기열에 대한 전체 액세스 권한을 제거해야 합니다. 가장 쉬운 방법은 모든 대기열 작업에 대한 Bob의 액세스를 거부하는 정책을 추가하는 것입니다. 명시적 deny는 항상 allow를 무시하기 때문에 이 정책은 다른 2개 정책을 무시합니다.

    Bob의 대기열 액세스를 거부하는 추가 설명을 Amazon SQS 정책에 추가할 수도 있습니다. 이는 Bob의 대기열 액세스를 거부하는 IAM 정책을 추가하는 것과 같은 효과가 있습니다. Amazon SQS 작업 및 리소스를 다루는 정책의 예는 을 참조하십시오아마존 SQS 정책의 기본 예. Amazon SQS 정책 작성에 대한 자세한 내용은 을 참조하십시오Amazon SQS Access 정책 언어와 함께 사용자 지정 정책 사용.

Amazon SQS 콘솔을 사용하는 데 필요한 권한

Amazon SQS 콘솔을 사용하려는 사용자는 해당 사용자의 Amazon SQS 대기열을 사용할 수 있는 최소 권한 세트를 보유해야 합니다. AWS 계정. 예를 들어, 사용자에게 대기열을 나열하려면 ListQueues 작업을 호출할 수 있는 권한이 있고, 대기열을 만들려면 CreateQueue 작업을 호출할 수 있는 권한이 있어야 합니다. Amazon SQS 권한 외에도 Amazon SQS 대기열에 Amazon SNS 주제를 구독하려면 콘솔에 Amazon SNS 작업에 대한 권한도 필요합니다.

필요한 최소 권한보다 더 제한적인 IAM 정책을 생성하면 해당 IAM 정책을 사용하는 사용자에게 콘솔이 의도한 대로 작동하지 않을 수 있습니다.

전화만 거는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다. AWS CLI 또는 아마존 SQS 액션.