将基于身份的策略用于 Amazon SQS - Amazon Simple Queue Service
使用Amazon SQS 和 IAM 策略使用 Amazon SQS 控制台所需的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将基于身份的策略用于 Amazon SQS

本主题提供了基于身份的策略的示例,在这些策略中,账户管理员可以向 IAM 身份(即用户、组和角色)附加权限策略。

重要

我们建议您首先阅读以下介绍性主题,这些主题讲解了管理 Amazon Simple Queue Service 资源访问的基本概念和选项。有关更多信息,请参阅 管理 Amazon SQS 中的权限概述

除了ListQueues,所有 Amazon SQS 操作均支持资源级权限。有关更多信息,请参阅 Amazon SQS API 权限:操作和资源参考

主题

使用Amazon SQS 和 IAM 策略

向您的用户授予访问您的 Amazon SQS 资源的权限有两种方法:使用 Amazon SQS 策略系统和使用 IAM 策略系统。您可以使用其中任意一套或两套系统。在绝大部分情况下,无论采用上述哪种方式,都可以得到同样的结果。

例如,下图显示了一个 IAM 策略及与之等效的 Amazon SQS 策略。IAM 政策向Amazon SQS 授予权限ReceiveMessageSendMessage名为的队列的操作queue_xyz在你的Amazon账户,该政策附加到名为 Bob 和 Susan 的用户(Bob 和 Susan 拥有政策中规定的权限)。Amazon SQS 的这项政策还赋予了 Bob 和 Susan 的权利ReceiveMessageSendMessage同一队列的操作。

注意

此示例显示了不带条件的简单策略。您可以在上述任一策略中指定特定条件,并获得同样的结果。

IAM 和 Amazon SQS 策略之间有一项主要差别:通过 Amazon SQS 策略系统,您将能够向其他授予权限Amazon账户,而 IAM 没有。

您可以自行决定如何综合使用上述两种系统来管理您的权限。以下示例展示这两种策略系统是如何共同运行的。

  • 在第一个示例中,Bob 既有适用于其账户的 IAM 策略,也有 Amazon SQS 策略。IAM 策略向他的账户授予了权限ReceiveMessage操作queue_xyz,而 Amazon SQS 政策允许他的账户使用SendMessage在同一个队列上操作。下图阐明了这一概念。

    如果 Bob 发送了ReceiveMessage请求queue_xyz,IAM 策略允许该操作。如果 Bob 发送了SendMessage请求queue_xyz,Amazon SQS 策略允许该操作。

  • 在第二个示例中,Bob 滥用他对 queue_xyz 的访问权限,因此有必要删除他对该队列的所有访问权限。最简单的方法是添加一个策略,拒绝他访问该队列的所有操作。此策略会覆盖另外两个策略,因为显式 deny 始终覆盖 allow。有关策略评估逻辑的更多信息,请参阅使用带有 Amazon SQS 访问策略语言的自定义策略。下图阐明了这一概念。

    您还可以在 Amazon SQS 策略中添加额外的语句,拒绝 Bob 对队列的任何类型的访问权限。它与添加拒绝 Bob 访问队列的 IAM 策略的效果相同。有关涉及 Amazon SQS 操作和资源的策略示例,请参阅Amazon SQS 策略的基本示例. 有关编写 Amazon SQS 策略的更多信息,请参阅使用带有 Amazon SQS 访问策略语言的自定义策略.

使用 Amazon SQS 控制台所需的权限

想要使用 Amazon SQS 控制台的用户必须拥有一组最低权限才能使用该用户的 Amazon SQS 队列Amazon Web Services 账户. 例如,用户必须具有调用 ListQueues 操作的权限才能列出队列,或者必须具有调用 CreateQueue 操作的权限才能创建队列。除了 Amazon SQS 权限之外,要为 Amazon SQS 队列订阅 Amazon SNS 主题,控制台还需要执行 Amazon SNS 操作的相关权限。

如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户,控制台可能无法按预期正常运行。

对于只需要调用的用户,您无需为其提供最低控制台权限Amazon CLI或Amazon SQS 操作。