Visão geral do gerenciamento de acesso no Amazon SQS - Amazon Simple Queue Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de acesso no Amazon SQS

Cada recurso da AWS é de propriedade de uma Conta da AWS e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e funções) e alguns produtos (como o Amazon SQS) também oferecem suporte à anexação de políticas de permissões aos recursos.

nota

O administrador da conta (ou usuário administrador) é um usuário com privilégios administrativos. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Ao conceder permissões, você especifica os usuários que recebem permissões, o recurso para o qual as permissões são concedidas e as ações específicas que você deseja permitir no recurso.

Recursos e operações do Amazon Simple Queue Service

No Amazon SQS, o único recurso é a fila. Em uma política, use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. O seguinte recurso tem um ARN exclusivo associado a ele:

Tipo de recurso Formato ARN
Fila arn:aws:sqs:region:account_id:queue_name

Veja a seguir exemplos do formato do ARN para filas:

  • Um ARN para uma fila chamada my_queue na região Leste dos EUA (Ohio), pertencente à conta da AWS 123456789012:

    arn:aws:sqs:us-east-2:123456789012:my_queue
  • Um ARN para uma fila chamada my_queue em cada uma das diferentes regiões compatíveis com o Amazon SQS:

    arn:aws:sqs:*:123456789012:my_queue
  • Um ARN que usa * ou ? como um curinga para o nome da fila. No exemplo a seguir, o ARN corresponde a todas as filas prefixadas com my_prefix_:

    arn:aws:sqs:*:123456789012:my_prefix_*

Você pode obter o valor do ARN para uma fila existente chamando a ação GetQueueAttributes. O valor do atributo QueueArn é o ARN da fila. Para obter mais informações sobre ARNs, consulte ARNs do IAM no Guia do usuário do IAM.

O Amazon SQS fornece um conjunto de ações que funcionam com o recurso de fila. Para ter mais informações, consulte Permissões da API do Amazon SQS: referência de ações e recurso.

Informações sobre propriedade de recursos

A Conta da AWS possui os recursos criados na conta, independentemente de quem os criou. Mais especificamente, o proprietário do recurso é a Conta da AWS da entidade principal (ou seja, a conta raiz, um usuário ou um perfil do IAM) que autentica a solicitação de criação de recursos. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da conta raiz da sua Conta da AWS para criar uma fila do Amazon SQS, sua Conta da AWS é o proprietário do recurso (no Amazon SQS, o recurso é a fila do Amazon SQS).

  • Se você criar um usuário em sua Conta da AWS e conceder permissões para criar uma fila para o usuário, ele mesmo poderá criar a fila. No entanto, a Conta da AWS (à qual o usuário pertence) é a proprietária do recurso de fila.

  • Se você criar uma função do IAM na Conta da AWS com permissões para criar uma fila do Amazon SQS, qualquer pessoa que puder assumir a função poderá criar uma fila. A Conta da AWS (à qual a função pertence) é a proprietária do recurso de fila.

Gerenciamento de acesso aos recursos

Uma política de permissões descreve as permissões concedidas às contas. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do Amazon SQS. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte What is IAM? no IAM User Guide. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política do AWS IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM;) e as políticas anexadas a um recurso são conhecidas como políticas baseadas em recurso.

Políticas baseadas em identidade (políticas do IAM e do Amazon SQS)

Há duas maneiras de conceder aos usuários permissões às suas filas do Amazon SQS: usando os sistemas de políticas do Amazon SQS e do IAM. Você pode usar um dos sistemas, ou ambos, para anexar políticas a usuários ou funções. Na maioria dos casos, você pode atingir o mesmo resultado usando um dos sistemas. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou grupo na conta: para conceder a um usuário permissões para criar uma fila do Amazon SQS, anexe uma política de permissões a um usuário ou grupo a que o usuário pertença.

  • Anexar uma política de permissões a um usuário em outra Conta da AWS: para conceder a um usuário permissões para criar uma fila do Amazon SQS, anexe uma política de permissões do Amazon SQS a um usuário em outra Conta da AWS.

    As permissões entre contas não se aplicam às seguintes ações:

  • Anexar uma política de permissões a uma função (conceder permissões entre contas): para conceder permissões entre contas, anexe uma política de permissões baseada em identidade a uma função do IAM. Por exemplo, o administrador da Conta da AWS A pode criar uma função para conceder permissões entre contas à Conta da AWS B (ou a um produto da AWS) da seguinte forma:

    • Um administrador da conta A cria um perfil do IAM e anexa uma política de permissões, que concede permissões em recursos da conta A ao perfil.

    • O administrador da conta A anexa uma política de confiança à função que identifica a conta B como a entidade principal, que pode assumir a função.

    • O administrador da conta B delega a permissão para assumir a função a qualquer usuário na conta B. Isso permite que os usuários na conta B criem ou acessem filas na conta A.

      nota

      Para conceder a permissão para assumir a função a um serviço da AWS, a entidade principal da política de confiança também pode ser uma entidade principal do serviço da AWS.

Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.

Embora o Amazon SQS funcione com políticas do IAM, ele tem sua própria infraestrutura de políticas. Você pode usar uma política do Amazon SQS com uma fila para especificar quais contas da AWS têm acesso à fila. Você pode especificar o tipo de acesso e condições (por exemplo, uma condição que conceda permissões para usar SendMessage, ReceiveMessage se a solicitação for feita antes de 31 de dezembro de 2010). As ações específicas para as quais você pode conceder permissões são um subconjunto de toda a lista de ações do Amazon SQS. Quando você grava uma política do Amazon SQS e especifica * para “permitir todas as ações do Amazon SQS”, significa que um usuário pode realizar todas as ações nesse subconjunto.

O diagrama a seguir ilustra o conceito de uma dessas políticas básicas do Amazon SQS que abrange o subconjunto de ações. A política é para queue_xyz e fornece às contas 1 da AWS e à conta 2 da AWS permissões para usar qualquer uma das ações permitidas com a fila especificada.

nota

O recurso na política é especificado como 123456789012/queue_xyz, em que 123456789012 é o ID da conta da AWS que é a proprietária da fila.

Com a introdução do IAM e os conceitos de usuários e nomes de recursos da Amazon (ARNs), algumas coisas foram alteradas nas políticas do SQS. O diagrama e a tabela a seguir descrevem as alterações.

Para obter informações sobre como conceder permissões a usuários em diferentes contas, consulte Tutorial: Delegar acesso entre contas da AWS usando funções do IAM no Guia do usuário do IAM.

O subconjunto de ações incluídas em * foi expandido. Para obter uma lista de ações permitidas, consulte Permissões da API do Amazon SQS: referência de ações e recurso.

Você pode especificar o recurso usando o nome do recurso da Amazon (ARN), a forma padrão de especificar recursos nas políticas do IAM. Para obter informações sobre o formato ARN para filas do Amazon SQS, consulte Recursos e operações do Amazon Simple Queue Service.

Por exemplo, de acordo com a política do Amazon SQS no diagrama anterior, qualquer pessoa que possua credenciais de segurança para a conta da AWS 1 ou conta da AWS 2 pode acessar queue_xyz. Além disso, os usuários Bob e Susan em sua própria conta da AWS (com o ID 123456789012) podem acessar a fila.

Antes da introdução do IAM, o Amazon SQS concedia automaticamente ao criador de uma fila o controle total sobre ela (ou seja, o acesso a todas as ações possíveis do Amazon SQS nessa fila). Isso não é mais verdadeiro, a menos que o criador use credenciais de segurança da AWS. Qualquer usuário que tenha permissões para criar uma fila também deve ter permissões para usar outras ações do Amazon SQS, para fazer qualquer coisa com as filas criadas.

Veja a seguir uma política de exemplo que permite que um usuário use todas as ações do Amazon SQS, mas apenas com as filas cujos nomes estejam prefixados com a string literal bob_queue_.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "sqs:*", "Resource": "arn:aws:sqs:*:123456789012:bob_queue_*" }] }

Para obter mais informações, consulte Usando políticas com o Amazon SQS e Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do Amazon Simple Queue Service, o produto define um conjunto de ações. Para conceder permissões a essas ações, o Amazon SQS define um conjunto de ações que podem ser especificadas em uma política.

nota

A execução de uma ação de pode exigir permissões para mais de uma ação. Ao conceder permissões para ações específicas, você também identifica o recurso para o qual as ações são permitidas ou recusadas.

Estes são os elementos de política mais básicos:

  • Recurso: em uma política, você usa um nome do recurso da Amazon (ARN) para identificar o recurso a que a política se aplica.

  • Ação: você usa palavras-chave de ação para identificar as ações de recurso que deseja permitir ou negar. Por exemplo, a permissão sqs:CreateQueue permite que o usuário execute a ação CreateQueue do Amazon Simple Queue Service.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso a fim de ter certeza de que um usuário não conseguirá acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente o principal. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições da política do Amazon SQS, consulte a AWSReferência de política do IAM da no Guia do usuário do IAM.

Para ver uma tabela com todas as ações do Amazon Simple Queue Service e os recursos a que elas se aplicam, consulte Permissões da API do Amazon SQS: referência de ações e recurso.