Ikhtisar mengelola akses di Amazon SQS - Amazon Simple Queue Service
Sumber daya dan operasi Amazon Simple Queue ServiceMemahami kepemilikan sumber dayaMengelola akses ke sumber dayaMenentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar mengelola akses di Amazon SQS

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (pengguna, grup, dan peran), dan beberapa layanan (seperti AmazonSQS) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak administratif. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Saat memberikan izin, Anda menentukan pengguna apa yang mendapatkan izin, sumber daya yang mereka dapatkan izin, dan tindakan spesifik yang ingin Anda izinkan pada sumber daya.

Sumber daya dan operasi Amazon Simple Queue Service

Di AmazonSQS, satu-satunya sumber daya adalah antrian. Dalam kebijakan, gunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut. Sumber daya berikut memiliki keunikan ARN yang terkait dengannya:

Jenis sumber daya ARNformat
Antrean arn:aws:sqs:region:account_id:queue_name

Berikut ini adalah contoh ARN format untuk antrian:

  • An ARN untuk antrian yang dinamai my_queue di wilayah Timur AS (Ohio), milik AWS Akun 123456789012:

    arn:aws:sqs:us-east-2:123456789012:my_queue

  • Sebuah ARN untuk antrian bernama my_queue di setiap wilayah berbeda yang SQS didukung Amazon:

    arn:aws:sqs:*:123456789012:my_queue

  • Sebuah ARN yang menggunakan * atau ? sebagai wildcard untuk nama antrian. Dalam contoh berikut, ARN kecocokan semua antrian diawali dengan: my_prefix_

    arn:aws:sqs:*:123456789012:my_prefix_*

Anda bisa mendapatkan ARN nilai untuk antrian yang ada dengan memanggil GetQueueAttributestindakan. Nilai QueueArn atribut adalah antrian. ARN Untuk informasi selengkapnyaARNs, lihat IAMARNsdi Panduan IAM Pengguna.

Amazon SQS menyediakan serangkaian tindakan yang bekerja dengan sumber daya antrian. Untuk informasi selengkapnya, lihat SQSAPIIzin Amazon: Tindakan dan referensi sumber daya.

Memahami kepemilikan sumber daya

Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, akun root, pengguna, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat SQS antrian Amazon, Anda Akun AWS adalah pemilik sumber daya (di AmazonSQS, sumber dayanya adalah antrian AmazonSQS).

  • Jika Anda membuat pengguna di dalam Akun AWS dan memberikan izin untuk membuat antrian ke pengguna, pengguna dapat membuat antrean. Namun, Anda Akun AWS (milik pengguna) memiliki sumber daya antrian.

  • Jika Anda membuat IAM peran Akun AWS dengan izin untuk membuat antrean Amazon, siapa pun yang dapat mengambil peran tersebut dapat membuat SQS antrian. Anda Akun AWS (yang menjadi milik peran tersebut) memiliki sumber daya antrian.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan izin yang diberikan ke akun. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks AmazonSQS. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan) dan IAM kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya.

Kebijakan berbasis identitas

Ada dua cara untuk memberikan izin kepada pengguna Anda ke SQS antrian Amazon Anda: menggunakan sistem SQS kebijakan Amazon dan menggunakan sistem kebijakan. IAM Anda dapat menggunakan salah satu sistem, atau keduanya, untuk melampirkan kebijakan ke pengguna atau peran. Dalam kebanyakan kasus, Anda dapat mencapai hasil yang sama menggunakan salah satu sistem. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di akun Anda — Untuk memberikan izin pengguna untuk membuat SQS antrean Amazon, lampirkan kebijakan izin ke pengguna atau grup tempat pengguna tersebut berada.

  • Melampirkan kebijakan izin ke pengguna di pengguna lain Akun AWS — Anda dapat melampirkan kebijakan izin ke pengguna lain Akun AWS untuk memungkinkan mereka berinteraksi dengan SQS antrean Amazon. Namun, izin lintas akun tidak berlaku untuk tindakan berikut:

    Izin lintas akun tidak berlaku untuk tindakan berikut:

    Untuk memberikan akses untuk tindakan ini, pengguna harus memiliki yang sama Akun AWS yang memiliki SQS antrian Amazon.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Untuk memberikan izin lintas akun, lampirkan kebijakan izin berbasis identitas ke peran. IAM Misalnya, administrator Akun AWS A dapat membuat peran untuk memberikan izin lintas akun ke Akun AWS B (atau AWS layanan) sebagai berikut:

    • Akun Administrator membuat IAM peran dan melampirkan kebijakan izin — yang memberikan izin pada sumber daya di akun A — ke peran tersebut.

    • Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi akun B sebagai kepala sekolah yang dapat mengambil peran tersebut.

    • Administrator akun B mendelegasikan izin untuk mengambil peran kepada setiap pengguna di akun B. Hal ini memungkinkan pengguna di akun B untuk membuat atau mengakses antrian di akun A.

      catatan

      Jika Anda ingin memberikan izin untuk mengambil peran ke AWS layanan, kepala sekolah dalam kebijakan kepercayaan juga dapat menjadi kepala AWS layanan.

Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Sementara Amazon SQS bekerja dengan IAM kebijakan, ia memiliki infrastruktur kebijakan sendiri. Anda dapat menggunakan SQS kebijakan Amazon dengan antrian untuk menentukan AWS Akun mana yang memiliki akses ke antrian. Anda dapat menentukan jenis akses dan kondisi (misalnya, kondisi yang memberikan izin untuk digunakanSendMessage, ReceiveMessage jika permintaan dibuat sebelum 31 Desember 2010). Tindakan spesifik yang dapat Anda berikan izin adalah bagian dari keseluruhan daftar tindakan AmazonSQS. Saat Anda menulis SQS kebijakan Amazon dan menentukan * “izinkan semua SQS tindakan Amazon,” itu berarti pengguna dapat melakukan semua tindakan dalam subset ini.

Diagram berikut mengilustrasikan konsep salah satu SQS kebijakan dasar Amazon ini yang mencakup subset tindakan. Kebijakan ini untukqueue_xyz, dan memberikan izin AWS Akun 1 dan AWS Akun 2 untuk menggunakan tindakan apa pun yang diizinkan dengan antrian yang ditentukan.

catatan

Sumber daya dalam kebijakan ditentukan sebagai123456789012/queue_xyz, di 123456789012 mana ID AWS Akun akun yang memiliki antrian.

SQSKebijakan Amazon yang mencakup subset tindakan

Dengan diperkenalkannya IAM dan konsep Pengguna dan Nama Sumber Daya Amazon (ARNs), beberapa hal telah berubah tentang SQS kebijakan. Diagram dan tabel berikut menjelaskan perubahannya.

IAMdan Nama Sumber Daya Amazon ditambahkan ke SQS kebijakan Amazon.

Number one in the diagram. Untuk informasi tentang memberikan izin kepada pengguna di akun yang berbeda, lihat Tutorial: Mendelegasikan Akses di Seluruh AWS Akun Menggunakan IAM Peran di IAMPanduan Pengguna.

Number two in the diagram. Subset tindakan yang termasuk dalam * telah diperluas. Untuk daftar tindakan yang diizinkan, lihatSQSAPIIzin Amazon: Tindakan dan referensi sumber daya.

Number three in the diagram. Anda dapat menentukan sumber daya menggunakan Amazon Resource Name (ARN), sarana standar untuk menentukan sumber daya dalam IAM kebijakan. Untuk informasi tentang ARN format SQS antrian Amazon, lihat. Sumber daya dan operasi Amazon Simple Queue Service

Misalnya, menurut SQS kebijakan Amazon pada diagram sebelumnya, siapa pun yang memiliki kredensil keamanan untuk AWS Akun 1 atau AWS Akun 2 dapat mengakses. queue_xyz Selain itu, Pengguna Bob dan Susan di AWS Akun Anda sendiri (dengan ID123456789012) dapat mengakses antrian.

Sebelum diperkenalkannyaIAM, Amazon SQS secara otomatis memberi pembuat antrian kontrol penuh atas antrian (yaitu, akses ke semua kemungkinan SQS tindakan Amazon pada antrian itu). Ini tidak lagi benar, kecuali pembuatnya menggunakan kredensi AWS keamanan. Setiap pengguna yang memiliki izin untuk membuat antrian juga harus memiliki izin untuk menggunakan SQS tindakan Amazon lainnya untuk melakukan apa pun dengan antrian yang dibuat.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk menggunakan semua SQS tindakan Amazon, tetapi hanya dengan antrian yang namanya diawali dengan string literal. bob_queue_

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:123456789012:bob_queue_*"
   }]
}

Untuk informasi selengkapnya, lihatMenggunakan kebijakan dengan Amazon SQS, dan Identitas (Pengguna, Grup, dan Peran) di Panduan IAM Pengguna.

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Untuk setiap sumber daya Amazon Simple Queue Service, layanan mendefinisikan serangkaian tindakan. Untuk memberikan izin untuk tindakan ini, Amazon SQS menetapkan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan.

catatan

Melakukan tindakan dapat memerlukan izin untuk lebih dari satu tindakan. Saat memberikan izin untuk tindakan tertentu, Anda juga mengidentifikasi sumber daya tempat tindakan diizinkan atau ditolak.

Berikut adalah elemen-elemen kebijakan yang paling dasar:

  • Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi tindakan sumber daya yang ingin Anda izinkan atau tolak. Misalnya, sqs:CreateQueue izin memungkinkan pengguna untuk melakukan CreateQueue tindakan Amazon Simple Queue Service.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke sumber daya, akses secara implisit ditolak. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan lain memberikan akses.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk mempelajari selengkapnya tentang sintaks dan deskripsi SQS kebijakan Amazon, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Untuk tabel semua tindakan Layanan Antrian Sederhana Amazon dan sumber daya yang diterapkan, lihatSQSAPIIzin Amazon: Tindakan dan referensi sumber daya.