Visão geral do gerenciamento de acesso na Amazon SQS - Amazon Simple Queue Service
Recursos e operações do Amazon Simple Queue ServiceInformações sobre propriedade de recursosGerenciar acesso aos recursos da Especificar elementos da política: ações, efeitos, recursos e entidades principais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de acesso na Amazon SQS

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às IAM identidades (usuários, grupos e funções), e alguns serviços (como a AmazonSQS) também oferecem suporte para anexar políticas de permissões aos recursos.

nota

O administrador da conta (ou usuário administrador) é um usuário com privilégios administrativos. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.

Ao conceder permissões, você especifica os usuários que recebem permissões, o recurso para o qual as permissões são concedidas e as ações específicas que você deseja permitir no recurso.

Recursos e operações do Amazon Simple Queue Service

Na AmazonSQS, o único recurso é a fila. Em uma política, use um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. O recurso a seguir tem um recurso exclusivo ARN associado a ele:

Tipo de recurso ARNformato
Fila arn:aws:sqs:region:account_id:queue_name

Veja a seguir exemplos do ARN formato das filas:

  • E ARN para uma fila nomeada my_queue na região Leste dos EUA (Ohio), pertencente à AWS Conta 123456789012:

    arn:aws:sqs:us-east-2:123456789012:my_queue

  • E ARN para uma fila nomeada my_queue em cada uma das diferentes regiões suportadas pela AmazonSQS:

    arn:aws:sqs:*:123456789012:my_queue

  • E ARN que usa * ou ? como um curinga para o nome da fila. Nos exemplos a seguir, ARN corresponde a todas as filas prefixadas com: my_prefix_

    arn:aws:sqs:*:123456789012:my_prefix_*

Você pode obter o ARN valor de uma fila existente chamando a GetQueueAttributesação. O valor do QueueArn atributo é o ARN da fila. Para obter mais informações sobreARNs, consulte IAMARNso Guia IAM do usuário.

SQSA Amazon fornece um conjunto de ações que funcionam com o recurso de fila. Para obter mais informações, consulte SQSAPIPermissões da Amazon: ações e referência de recursos.

Informações sobre propriedade de recursos

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, a conta raiz, um usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da sua conta raiz Conta da AWS para criar uma SQS fila da Amazon, você Conta da AWS é o proprietário do recurso (na AmazonSQS, o recurso é a SQS fila da Amazon).

  • Se você criar um usuário no seu Conta da AWS e conceder permissões para criar uma fila para o usuário, o usuário poderá criar a fila. No entanto, a Conta da AWS (à qual o usuário pertence) é a proprietária do recurso de fila.

  • Se você criar uma IAM função no seu Conta da AWS com permissões para criar uma SQS fila da Amazon, qualquer pessoa que possa assumir a função poderá criar uma fila. Seu Conta da AWS (ao qual a função pertence) é proprietário do recurso de fila.

Gerenciar acesso aos recursos da

Uma política de permissões descreve as permissões concedidas às contas. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso IAM no contexto da AmazonSQS. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a IAM sintaxe e as descrições das AWS IAMpolíticas, consulte Referência de políticas no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (políticas) e IAM as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos.

Políticas baseadas em identidade

Há duas maneiras de conceder aos usuários permissões para suas SQS filas da Amazon: usando o sistema de SQS políticas da Amazon e usando o sistema IAM de políticas. Você pode usar um dos sistemas, ou ambos, para anexar políticas a usuários ou funções. Na maioria dos casos, você pode atingir o mesmo resultado usando um dos sistemas. Por exemplo, você pode fazer o seguinte:

  • Anexe uma política de permissão a um usuário ou grupo em sua conta — Para conceder permissões ao usuário para criar uma SQS fila da Amazon, anexe uma política de permissões a um usuário ou grupo ao qual o usuário pertença.

  • Anexar uma política de permissão a um usuário em outro Conta da AWS — Para conceder permissões ao usuário para criar uma SQS fila da Amazon, anexe uma política de SQS permissões da Amazon a um usuário em outra Conta da AWS.

    As permissões entre contas não se aplicam às seguintes ações:

  • Anexar uma política de permissão a uma função (conceder permissões entre contas) — Para conceder permissões entre contas, anexe uma política de permissões baseada em identidade a uma função. IAM Por exemplo, o Conta da AWS administrador A pode criar uma função para conceder permissões entre contas a Conta da AWS B (ou a um AWS serviço) da seguinte forma:

    • O administrador da conta A cria uma IAM função e anexa uma política de permissões — que concede permissões sobre recursos na conta A — à função.

    • O administrador da conta A anexa uma política de confiança à função que identifica a conta B como a entidade principal, que pode assumir a função.

    • O administrador da conta B delega a permissão para assumir a função a qualquer usuário na conta B. Isso permite que os usuários na conta B criem ou acessem filas na conta A.

      nota

      Se você quiser conceder a permissão para assumir a função em um AWS serviço, o principal na política de confiança também pode ser um diretor AWS de serviço.

Para obter mais informações sobre IAM como delegar permissões, consulte Gerenciamento de acesso no Guia do IAM usuário.

Embora a Amazon SQS trabalhe com IAM políticas, ela tem sua própria infraestrutura de políticas. Você pode usar uma SQS política da Amazon com uma fila para especificar quais AWS contas têm acesso à fila. Você pode especificar o tipo de acesso e condições (por exemplo, uma condição que conceda permissões para usar SendMessage, ReceiveMessage se a solicitação for feita antes de 31 de dezembro de 2010). As ações específicas para as quais você pode conceder permissões são um subconjunto da lista geral de SQS ações da Amazon. Quando você escreve uma SQS política da Amazon e especifica “*permitir todas as SQS ações da Amazon”, isso significa que um usuário pode realizar todas as ações nesse subconjunto.

O diagrama a seguir ilustra o conceito de uma dessas SQS políticas básicas da Amazon que abrange o subconjunto de ações. A política é para queue_xyz e concede à AWS Conta 1 e à AWS Conta 2 permissões para usar qualquer uma das ações permitidas com a fila especificada.

nota

O recurso na política é especificado como123456789012/queue_xyz, onde 123456789012 está o AWS ID da conta que possui a fila.

Uma SQS política da Amazon que abrange o subconjunto de ações

Com a introdução IAM e os conceitos de Users e Amazon Resource Names (ARNs), algumas coisas mudaram SQS nas políticas. O diagrama e a tabela a seguir descrevem as alterações.

IAMe nomes de recursos da Amazon adicionados à SQS política da Amazon.

Number one in the diagram. Para obter informações sobre como conceder permissões a usuários em contas diferentes, consulte Tutorial: Delegar acesso entre AWS contas usando IAM funções no Guia do IAM usuário.

Number two in the diagram. O subconjunto de ações incluídas em * foi expandido. Para obter uma lista de ações permitidas, consulte SQSAPIPermissões da Amazon: ações e referência de recursos.

Number three in the diagram. Você pode especificar o recurso usando o Amazon Resource Name (ARN), o meio padrão de especificar recursos nas IAM políticas. Para obter informações sobre o ARN formato das SQS filas da Amazon, consulteRecursos e operações do Amazon Simple Queue Service.

Por exemplo, de acordo com a SQS política da Amazon no diagrama anterior, qualquer pessoa que possua as credenciais de segurança da AWS Conta 1 ou da AWS Conta 2 pode acessar. queue_xyz Além disso, os usuários Bob e Susan em sua própria conta da AWS (com o ID 123456789012) podem acessar a fila.

Antes da introdução doIAM, a Amazon concedia SQS automaticamente ao criador de uma fila controle total sobre a fila (ou seja, acesso a todas as SQS ações possíveis da Amazon nessa fila). Isso não é mais verdadeiro, a menos que o criador use credenciais de segurança da AWS . Qualquer usuário que tenha permissão para criar uma fila também deve ter permissão para usar outras SQS ações da Amazon para fazer qualquer coisa com as filas criadas.

Veja a seguir um exemplo de política que permite que um usuário use todas as SQS ações da Amazon, mas somente com filas cujos nomes são prefixados com a string literal. bob_queue_

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:123456789012:bob_queue_*"
   }]
}

Para obter mais informaçõesUsando políticas com a Amazon SQS, consulte Identidades (usuários, grupos e funções) no Guia do IAM usuário.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do Amazon Simple Queue Service, o produto define um conjunto de ações. Para conceder permissões para essas ações, a Amazon SQS define um conjunto de ações que você pode especificar em uma política.

nota

A execução de uma ação de pode exigir permissões para mais de uma ação. Ao conceder permissões para ações específicas, você também identifica o recurso para o qual as ações são permitidas ou recusadas.

Estes são os elementos de política mais básicos:

  • Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica.

  • Ação: você usa palavras-chave de ação para identificar as ações de recurso que deseja permitir ou negar. Por exemplo, a permissão sqs:CreateQueue permite que o usuário execute a ação CreateQueue do Amazon Simple Queue Service.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso a fim de ter certeza de que um usuário não conseguirá acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições das SQS políticas da Amazon, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.

Para ver uma tabela com todas as ações do Amazon Simple Queue Service e os recursos a que elas se aplicam, consulte SQSAPIPermissões da Amazon: ações e referência de recursos.