Amazon SQS 에서 자격 증명 기반 정책 사용 - Amazon Simple Queue Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon SQS 에서 자격 증명 기반 정책 사용

이 섹션에서는 계정 관리자가 IAM 자격 증명 (사용자, 그룹, 역할) 에 권한 정책을 연결할 수 있는 자격 증명 기반 정책의 예를 제시합니다.

중요

Amazon Simple Queue Service 리소스에 대한 액세스 관리를 위해 제공되는 기본 개념과 옵션 설명에 대한 소개 주제 부분을 우선 읽어 보는 것이 좋습니다. 자세한 내용은 Amazon SQS 에서 액세스 관리 개요 단원을 참조하세요.

다음을 제외하고ListQueues모든 Amazon SQS 작업이 리소스 수준 권한을 지원합니다. 자세한 내용은 Amazon SQS API 권한: 작업 및 리소스 참조 단원을 참조하세요.

Amazon SQS 및 IAM 정책 사용

사용자에게 Amazon SQS 리소스에 대한 권한을 부여하는 방법에는 Amazon SQS 정책 시스템을 사용하는 방법과 IAM 정책 시스템을 사용하는 방법이 있습니다. 전자나 후자 또는 둘 다 사용할 수 있습니다. 대개는 어떤 방법으로도 같은 결과를 얻을 수 있습니다.

예를 들어, 다음 다이어그램은 동일한 IAM 정책과 Amazon SQS 정책을 보여줍니다. IAM 정책은 Amazon SQS S에 대한 권한을 부여합니다.ReceiveMessageSendMessage호출된 큐에 대한 작업queue_xyz귀하의AWS계정 및 이 정책은 사용자 Bob과 Susan에게 연결되어 있습니다 (Bob과 Susan은 이 정책에서 명시된 권한이 있음). 이 Amazon SQS 정책도 Bob 및 Susan에게ReceiveMessageSendMessage작업을 수행할 수 있습니다.

참고

이 예제는 조건 없는 간단한 정책을 보여줍니다. 두 정책 중 어느 쪽에서도 특정 조건을 지정하고 동일한 결과를 얻을 수 있습니다.

IAM 정책과 Amazon SQS 정책 간에는 한 가지 큰 차이가 있습니다. Amazon SQS 정책 시스템에서는 다른AWS계정이지만 IAM은 그렇지 않습니다.

사용자의 필요에 따라 두 시스템을 함께 사용하여 권한을 관리해야 합니다. 다음 예는 두 정책 시스템이 어떻게 연계하는지 보여줍니다.

  • 첫 번째 예에서 Bob은 IAM 정책과 Amazon SQS 정책을 모두 보유하고 있습니다. IAM 정책은 자신의 계정에ReceiveMessage작업queue_xyz에 대한 권한을 부여하는 반면, Amazon SQS 정책은 자신의 계정에SendMessage작업을 동일한 대기열에 저장합니다. 다음 다이어그램에서 관련 개념을 설명합니다.

    밥은 보내는 경우ReceiveMessage요청queue_xyz로 설정하면 IAM 정책은 작업을 허용합니다. 밥은 보내는 경우SendMessage요청queue_xyz로 설정하면 Amazon SQS 정책은 작업을 허용합니다.

  • 두 번째 예에서 Bob은 queue_xyz에 대한 액세스 권한을 침해하므로, 해당 대기열에 대한 전체 액세스 권한을 제거해야 합니다. 가장 쉬운 방법은 모든 대기열 작업에 대한 Bob의 액세스를 거부하는 정책을 추가하는 것입니다. 명시적 deny는 항상 allow를 무시하기 때문에 이 정책은 다른 2개 정책을 무시합니다. 정책 평가 로직에 대한 자세한 내용은 Amazon SQS 액세스 정책 언어에서 사용자 지정 정책 사용를 참조하십시오. 다음 다이어그램에서 관련 개념을 설명합니다.

    Bob이 어떤 방식으로 대기열에 액세스하든 간에 거부하는 문을 Amazon SQS 정책에 추가할 수도 있습니다. 이는 Bob의 대기열 액세스를 거부하는 IAM 정책을 추가하는 것과 동일한 효과가 있습니다. Amazon SQS 작업 및 리소스를 다루는 정책의 예는 단원을 참조하십시오.Amazon SQS 정책의 기본 예제. Amazon SQS 정책 작성에 대한 자세한 내용은 단원을 참조하십시오.Amazon SQS 액세스 정책 언어에서 사용자 지정 정책 사용.

Amazon SQS 콘솔 사용에 필요한 권한

Amazon SQS 콘솔로 작업하려면 사용자의 Amazon SQS 대기열에서 작업할 수 있는 최소 개수의 권한이 있어야 합니다. AWS 계정 . 예를 들어, 사용자에게 ListQueues 작업을 호출할 권한이 있어 대기열을 나열할 수 있거나 CreateQueue 작업을 호출할 권한이 있어 대기열을 생성할 수 있어야 합니다. Amazon SQS 권한 외에도 Amazon SNS 주제에 대한 Amazon SQS 대기열에서 Amazon SNS 작업에 대한 권한도 있어야 합니다.

최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않을 수 있습니다.

만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요가 없습니다.AWS CLI또는 Amazon SQS 작업을 수행할 수 있습니다.

AWSAmazon SQS 대한 관리형 (미리 정의된) 정책

AWS는 독립 실행형 에서 제공하여 많은 일반 사용 사례를 처리합니다.AWS관리형 IAM 정책. 이러한 AWS 관리형 정책은 일반 사용 사례에 필요한 권한을 부여하여 간단히 권한을 사용하도록 해줍니다. 자세한 내용은 단원을 참조하십시오.AWS관리형 정책IAM 사용 설명서.

다음은 다음과 같습니다.AWS관리형 정책 (계정의 사용자에게 연결할 수 있는) 은 Amazon SQS 에만 적용됩니다.

  • AmazonSQSReadOnlyAccess— Amazon SQS 대기열에 대한 읽기 전용 액세스 권한을AWS Management Console.

  • AmazonSQSFullAccess— Amazon SQS 대기열에 대한 모든 액세스 권한을 부여합니다.AWS Management Console.

IAM 콘솔에서 사용 가능한 정책을 검색하고 검토할 수 있습니다. Amazon SQS 작업 및 대기열에 대한 권한을 허용하는 고유의 사용자 지정 IAM 정책을 생성할 수도 있습니다. 권한이 필요한 IAM 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.