Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management in Amazon SQS
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (im Besitz von Berechtigungen) ist, Amazon-SQS-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Beheben von Identitäts- und Zugriffsfehlern bei Amazon Simple Queue Service](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Simple Notification Service mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Best Practices für Richtlinien](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Übersicht über die Zugriffsverwaltung in Amazon SQS
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM-Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen. Manche Services (wie etwa Amazon SQS) unterstützen auch die Zuweisung von Berechtigungsrichtlinien zu Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Beim Erteilen von Berechtigungen geben Sie an, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an dieser Ressource gestattet werden sollen.
## Ressourcen und Abläufe von Amazon Simple Queue Service
In Amazon SQS ist die einzige Ressource die *Warteschlange*. In einer Richtlinie identifizieren Sie die Ressource, für welche die Richtlinie gilt, mithilfe eines Amazon-Ressourcennamens (ARN). Der folgenden Ressource ist ein eindeutiger ARN zugewiesen:
| Ressourcentyp | ARN-Format |
| --- | --- |
| Warteschlange | arn:aws:sqs:region:account\$1id:queue\$1name |
Es folgen Beispiele des ARN-Formats für Warteschlangen:
+ Ein ARN für eine Warteschlange mit dem Namen `my_queue` in der Region USA Ost (Ohio), die zum AWS Konto 123456789012 gehört:
```
arn:aws:sqs:us-east-2:123456789012:my_queue
```
+ Ein ARN für eine Warteschlange mit dem Namen `my_queue` in den verschiedenen Regionen, die von Amazon SQS unterstützt werden:
```
arn:aws:sqs:*:123456789012:my_queue
```
+ Eine ARN, der `*` oder `?` als Platzhalter für den Warteschlangennamen verwendet. In den folgenden Beispielen entspricht der ARN allen Warteschlangen mit dem Präfix `my_prefix_`:
```
arn:aws:sqs:*:123456789012:my_prefix_*
```
Sie können den ARN-Wert für eine vorhandene Warteschlange abrufen, indem Sie die Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html) aufrufen. Der Wert des `QueueArn`-Attributs ist der ARN der Warteschlange. *Weitere Informationen zu ARNs finden Sie unter [IAM ARNs im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns).*
Amazon SQS bietet eine Reihe von Aktionen für die Arbeit mit der Warteschlangenressource. Weitere Informationen finden Sie unter [Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen](sqs-api-permissions-reference.md).
## Grundlegendes zum Eigentum an Ressourcen
Das AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Genauer gesagt ist der Ressourceneigentümer das AWS-Konto der *Prinzipal-Entität* (d. h. das Root-Konto, ein Benutzer oder eine IAM-Rolle), die die Anfrage zur Erstellung der Ressource authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie Ihre Root-Kontoanmeldedaten verwenden, AWS-Konto um eine Amazon SQS-Warteschlange zu erstellen, sind Sie AWS-Konto der Eigentümer der Ressource (in Amazon SQS ist die Ressource die Amazon SQS SQS-Warteschlange).
+ Wenn Sie in Ihrer Datenbank einen Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen einer Warteschlange erteilen, kann der Benutzer die Warteschlange erstellen. Eigentümer der Warteschlangenressource ist jedoch Ihr AWS-Konto (zu dem der Benutzer gehört).
+ Wenn Sie eine IAM-Rolle in Ihrem AWS-Konto mit den Berechtigungen zum Erstellen einer Amazon SQS SQS-Warteschlange erstellen, kann jeder, der die Rolle übernehmen kann, eine Warteschlange erstellen. Ihnen AWS-Konto (zu der die Rolle gehört) gehört die Warteschlangenressource.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt die Konten zugewiesenen Berechtigungen. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
Dieser Abschnitt behandelt die Verwendung von IAM im Zusammenhang mit Amazon SQS. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Für Informationen über die Syntax und Beschreibungen von [AWS -IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) lesen Sie die *IAM-Richtlinienreferenz im IAM-Benutzerhandbuch*.
Richtlinien, die einer IAM-Identität zugeordnet sind, werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, *ressourcenbasierte* Richtlinien genannt werden.
### Identitätsbasierte Richtlinien
Es gibt zwei Möglichkeiten, Ihren Benutzern Berechtigungen für Ihre Amazon-SQS-Warteschlangen zu erteilen: das Amazon-SQS-Richtliniensystem und das IAM-Richtliniensystem. Sie können entweder eines der Systeme oder beide verwenden, um Benutzern oder Rollen Richtlinien anzufügen. In den meisten Fällen erzielen Sie mit beiden Systemen dasselbe Ergebnis. Sie können z. B. Folgendes tun:
+ **Einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zuweisen** – Wenn Sie einem Benutzer Berechtigungen zur Erstellung einer Amazon-SQS-Warteschlange erteilen möchten, können Sie dem Benutzer oder der Gruppe, zu der er gehört, eine Berechtigungsrichtlinie zuweisen.
+ **Eine Berechtigungsrichtlinie an einen Benutzer in einem anderen** anhängen AWS-Konto— Sie können eine Berechtigungsrichtlinie an einen Benutzer in einem anderen anhängen AWS-Konto , damit dieser mit einer Amazon SQS SQS-Warteschlange interagieren kann. Kontoübergreifende Berechtigungen gelten jedoch nicht für die folgenden Aktionen:
Kontoübergreifende Berechtigungen gelten nicht für die folgenden Aktionen:
+ `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
+ `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
+ `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
+ `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
+ `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
+ `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
+ `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
+ `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
+ `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
+ `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
+ `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
+ `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`
Um Zugriff auf diese Aktionen zu gewähren, muss der Benutzer demselben AWS-Konto Benutzer angehören, dem die Amazon SQS SQS-Warteschlange gehört.
+ Einer **Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Um kontoübergreifende Berechtigungen für** eine SQS-Warteschlange zu gewähren, müssen Sie sowohl IAM- als auch ressourcenbasierte Richtlinien kombinieren:
1. In **Konto A (dem die Warteschlange gehört**):
+ Hängen Sie eine **ressourcenbasierte Richtlinie an die** SQS-Warteschlange an. Diese Richtlinie muss dem Prinzipal in **Konto B** (z. [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html)B. einer [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html)IAM-Rolle) ausdrücklich die erforderlichen Berechtigungen (z. B.,) gewähren.
1. Erstellen Sie in **Konto A** eine IAM-Rolle:
+ Eine **Vertrauensrichtlinie**, die es **Konto B oder A** ermöglicht, die Rolle AWS-Service zu übernehmen.
**Anmerkung**
Wenn Sie möchten, dass ein AWS-Service (wie Lambda oderEventBridge) die Rolle übernimmt, geben Sie den Dienstprinzipal (z. B.lambda.amazonaws.com) in der Vertrauensrichtlinie an.
+ Eine **identitätsbasierte Richtlinie**, die der angenommenen Rolle Berechtigungen zur Interaktion mit der Warteschlange gewährt.
1. Erteilen **Sie in Konto B** die Erlaubnis, die Rolle in **Konto** A zu übernehmen.
Sie müssen die Zugriffsrichtlinie der Warteschlange so konfigurieren, dass der kontoübergreifende Prinzipal zulässig ist. Identitätsbasierte IAM-Richtlinien allein reichen für den kontoübergreifenden Zugriff auf SQS-Warteschlangen nicht aus.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Amazon SQS arbeitet zwar mit IAM-Richtlinien, verfügt jedoch über eine eigene Richtlinieninfrastruktur. Sie können eine Amazon SQS SQS-Richtlinie mit einer Warteschlange verwenden, um anzugeben, welche AWS Konten Zugriff auf die Warteschlange haben. Sie können die Art des Zugriffs sowie Bedingungen festlegen (z. B. eine Bedingung, mit der Berechtigungen für `SendMessage` und für `ReceiveMessage` erteilt werden, wenn die Anforderung vor dem 31. Dezember 2010 gestellt wurde). Die spezifischen Aktionen, für die Sie Berechtigungen erteilen können, gelten für eine Untergruppe der gesamten Liste der Amazon-SQS-Aktionen. Wenn Sie eine Amazon-SQS-Richtlinie schreiben und für `*` „alle Amazon-SQS-Aktionen zulassen“ festlegen, bedeutet dies, dass alle Aktionen dieser Untergruppe von einzelnen Benutzern ausgeführt werden können.
Das folgende Diagramm veranschaulicht das Konzept einer dieser grundlegenden Amazon-SQS-Richtlinien, die für die Untergruppe der Aktionen gelten. Die Richtlinie gilt für `queue_xyz` und gibt AWS Konto 1 und AWS Konto 2 die Erlaubnis, jede der zulässigen Aktionen mit der angegebenen Warteschlange zu verwenden.
**Anmerkung**
Die Ressource in der Richtlinie ist wie folgt angegeben: `123456789012/queue_xyz` Dabei `123456789012` handelt es sich um die AWS Konto-ID des Kontos, dem die Warteschlange gehört.
![\[Eine Amazon SQS SQS-Richtlinie, die die Teilmenge der Aktionen abdeckt\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/SQS_BasicPolicy.png)
Mit der Einführung von IAM und den Konzepten von *Users* und *Amazon Resource Names (ARNs)* haben sich einige Dinge an den SQS-Richtlinien geändert. Im folgenden Diagramm und in der Tabelle werden die Änderungen beschreiben.
![\[IAM und Amazon Resource Names wurden der Amazon SQS SQS-Richtlinie hinzugefügt.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/SQS_PolicyWithNewFeatures.png)
![\[Number one in the diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png)*Informationen zur Erteilung von Berechtigungen an Benutzer mit unterschiedlichen Konten finden Sie unter [Tutorial: Kontenübergreifender Delegieren des Zugriffs mithilfe von IAM-Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html). AWS *
![\[Number two in the diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png) Die Untergruppe der Aktionen in `*` wurde erweitert. Eine Liste zulässiger Aktionen finden Sie unter [Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen](sqs-api-permissions-reference.md).
![\[Number three in the diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Sie können die Ressource mithilfe des Amazon-Ressourcennamens (ARN) angeben. Dies entspricht dem standardmäßigen Verfahren zum Festlegen von Ressourcen in IAM-Richtlinien. Weitere Informationen zum ARN-Format für Amazon-SQS-Warteschlangen finden Sie unter [Ressourcen und Abläufe von Amazon Simple Queue Service](#sqs-resource-and-operations).
Gemäß der Amazon SQS SQS-Richtlinie im obigen Diagramm kann beispielsweise jeder, der die Sicherheitsanmeldedaten für AWS Konto 1 oder AWS Konto 2 besitzt, darauf zugreifen`queue_xyz`. Außerdem haben die Benutzer Bob und Susan in Ihrem eigenen AWS -Konto (Benutzer-ID `123456789012`) Zugriff auf die Warteschlange.
Vor der Einführung von IAM übertrug Amazon SQS automatisch die vollständige Kontrolle über die Warteschlange auf den jeweiligen Ersteller der Warteschlange (d. h. Zugriff auf alle möglichen Amazon-SQS-Aktionen für diese Warteschlange). Dies trifft nur noch zu, wenn der Ersteller AWS -Sicherheitsanmeldeinformationen verwendet. Jeder Benutzer, der über Berechtigungen zum Erstellen einer Warteschlange verfügt, muss zudem Berechtigungen zur Verwendung anderer Amazon-SQS-Aktionen haben, um Aktionen für die erstellten Warteschlangen ausführen zu können.
Es folgt ein Beispiel für eine Richtlinie, mit der ein Benutzer zwar alle Amazon-SQS-Aktionen verwenden kann, jedoch für Warteschlangen, deren Namen mit dem Präfix der Literalzeichenfolge `bob_queue_` versehen sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "arn:aws:sqs:*:123456789012:bob_queue_*"
}]
}
```
------
Weitere Informationen finden Sie unter [Richtlinien mit Amazon SQS verwenden](sqs-using-identity-based-policies.md) und [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
## Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale
Für jede [Amazon-Simple-Queue-Service-Ressource](#sqs-resource-and-operations) definiert der Service eine Reihe von [Aktionen](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_Operations.html). Zur Erteilung von Berechtigungen für diese Aktionen definiert Amazon SQS eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können.
**Anmerkung**
Für das Durchführen einer Aktion können Berechtigungen für mehrere Aktionen erforderlich sein. Bei der Erteilung von Berechtigungen für bestimmte Aktionen geben Sie auch die Ressource an, für die die Aktionen zugelassen oder verweigert werden.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt.
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenaktionen an, die Sie zulassen oder verweigern möchten. Die `sqs:CreateQueue`-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der Amazon-Simple-Queue-Service-Aktion `CreateQueue`.
+ **Auswirkung** – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten (""), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur Syntax und zu Beschreibungen von Amazon-SQS-Richtlinien finden Sie in der [AWS -IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabellenliste mit allen Amazon-Simple-Queue-Service-Aktionen und den Ressourcen, für die diese gelten, finden Sie unter [Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen](sqs-api-permissions-reference.md).
# So funktioniert Amazon Simple Notification Service mit IAM
Bevor Sie mit IAM den Zugriff auf Amazon SQS verwalten können, sollten Sie sich darüber informieren, welche IAM-Features Sie mit Amazon SQS verwenden können.
**IAM-Features, die Sie mit Amazon Simple Queue Service verwenden können**
| IAM-Feature | Amazon-SQS-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
*Einen allgemeinen Überblick darüber, wie Amazon SQS und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Zugriffskontrolle
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
**Anmerkung**
Es ist wichtig zu verstehen, dass alle ihre Berechtigungen an Benutzer unter ihren Konten delegieren AWS-Konten können. Durch den kontoübergreifenden Zugriff können Sie den Zugriff auf Ihre AWS Ressourcen gemeinsam nutzen, ohne zusätzliche Benutzer verwalten zu müssen. Weitere Informationen über die Verwendung des kontenübergreifenden Zugriffs finden Sie unter [Enabling Cross-Account Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/Delegation.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu inhaltsübergreifenden Berechtigungen und Bedingungsschlüsseln in den benutzerdefinierten Amazon-SQS-Richtlinien finden Sie unter [Einschränkungen der benutzerdefinierten Amazon SQS SQS-Richtlinien](sqs-limitations-of-custom-policies.md).
## Identitätsbasierte Richtlinien für Amazon SQS
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon SQS
Beispiele für identitätsbasierte Amazon-SQS-Richtlinien finden Sie unter [Best Practices für Richtlinien](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).
## Ressourcenbasierte Richtlinien in Amazon SQS
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für Amazon SQS
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon-SQS-Aktionen finden Sie unter [Von Amazon Simple Queue Service definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies) in der *Service-Autorisierungs-Referenz*.
Richtlinienaktionen in Amazon SQS verwenden das folgende Präfix vor der Aktion:
```
sqs
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"sqs:action1",
"sqs:action2"
]
```
Beispiele für identitätsbasierte Amazon-SQS-Richtlinien finden Sie unter [Best Practices für Richtlinien](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).
## Richtlinienressourcen für Amazon SQS
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon SQS SQS-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Simple Queue Service definierte Aktionen in der Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-actions-as-permissions) *Authorization Reference.* Um zu erfahren, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, lesen Sie [Von Amazon Simple Queue Service definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies).
Beispiele für identitätsbasierte Amazon-SQS-Richtlinien finden Sie unter [Best Practices für Richtlinien](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).
## Richtlinien-Bedingungsschlüssel für Amazon SQS
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon-SQS-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-policy-keys) in der *Service-Autorisierungs-Referenz*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Simple Queue Service definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies).
Beispiele für identitätsbasierte Amazon-SQS-Richtlinien finden Sie unter [Best Practices für Richtlinien](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).
## ACLs bei Amazon SQS
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon SQS
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden temporärer Anmeldeinformationen mit Amazon SQS
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen für Amazon SQS weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon SQS
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle könnte die Funktionalität von Amazon SQS beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon SQS dazu Anleitungen gibt.
## Serviceverknüpfte Rollen für Amazon SQS
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Amazon SQS SQS-Updates für AWS verwaltete Richtlinien
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, von AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere von AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken häufige Anwendungsfälle ab und sind in Ihrem AWS -Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: Amazon SQSFull Access
Sie können die `AmazonSQSFullAccess`-Richtlinie an Ihre Amazon-SQS-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die vollen Zugriff auf Amazon SQS ermöglichen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon SQSFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSQSFullAccess.html) in der *Referenz für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Amazon SQSRead OnlyAccess
Sie können die `AmazonSQSReadOnlyAccess`-Richtlinie an Ihre Amazon-SQS-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die einen schreibgeschützten Zugriff auf Amazon SQS erlauben.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon SQSRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSQSReadOnlyAccess.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: SQSUnlock QueuePolicy
Wenn Sie Ihre Warteschlangenrichtlinie für ein Mitgliedskonto falsch konfiguriert haben, um allen Benutzern den Zugriff auf Ihre Amazon SQS SQS-Warteschlange zu verweigern, können Sie die `SQSUnlockQueuePolicy` AWS verwaltete Richtlinie verwenden, um die Warteschlange zu entsperren.
*Weitere Informationen zum Entfernen einer falsch konfigurierten Warteschlangenrichtlinie, die allen Prinzipalen den Zugriff auf eine Amazon SQS SQS-Warteschlange verweigert, finden Sie unter [Ausführen einer privilegierten Aufgabe auf einem AWS Organizations Mitgliedskonto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) im IAM-Benutzerhandbuch.*
## Amazon SQS SQS-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SQS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon-SQS-[Dokumentverlauf](sqs-release-notes.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-SQSUnlockQueuePolicy) | Amazon SQS hat eine neue AWS verwaltete Richtlinie hinzugefügt, mit der eine Warteschlange entsperrt und eine falsch konfigurierte Warteschlangenrichtlinie entfernt wird`SQSUnlockQueuePolicy`, die allen Prinzipalen den Zugriff auf eine Amazon SQS SQS-Warteschlange verweigert. | 15. November 2024 |
| [AmazonSQSReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonSQSReadOnlyAccess) | Amazon SQS hat die [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)Aktion hinzugefügt, die alle Tags abruft, die mit einer bestimmten Amazon SQS SQS-Warteschlange verknüpft sind. Sie ermöglicht es Ihnen, die Schlüssel-Wert-Paare einzusehen, die der Warteschlange aus organisatorischen oder Metadaten-Gründen zugewiesen wurden. Diese Aktion ist mit dem `ListQueueTags`-API-Vorgang verknüpft. | 20. Juni 2024 |
| [AmazonSQSReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonSQSReadOnlyAccess) | Amazon SQS hat eine neue Aktion hinzugefügt, mit der Sie die neuesten Aufgaben zur Nachrichtenverschiebung (bis zu 10) in einer bestimmten Quellwarteschlange auflisten können. Diese Aktion ist mit dem [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)-API-Vorgang verknüpft. | 9. Juni 2023 |
# Beheben von Identitäts- und Zugriffsfehlern bei Amazon Simple Queue Service
Diagnostizieren und beheben Sie mithilfe der folgenden Informationen gängige Probleme, die bei der Verwendung von Amazon SQS und IAM auftreten können.
## Ich bin nicht autorisiert, eine Aktion in Amazon SQS auszuführen
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen einer Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um die Aktion durchführen zu können.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `sqs:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: sqs:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Mateo-Richtlinie aktualisiert werden, damit er mit der `sqs:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Amazon SQS übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon SQS auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon SQS SQS-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Amazon SQS diese Features unterstützt, finden Sie unter [So funktioniert Amazon Simple Notification Service mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Ich möchte meine Warteschlange entsperren
Wenn Sie zu einer Organisation AWS-Konto gehören, können AWS Organizations Richtlinien Sie daran hindern, auf Amazon SQS SQS-Ressourcen zuzugreifen. Standardmäßig blockieren AWS Organizations Richtlinien keine Anfragen an Amazon SQS. Stellen Sie jedoch sicher, dass Ihre AWS Organizations Richtlinien nicht so konfiguriert wurden, dass sie den Zugriff auf Amazon SQS SQS-Warteschlangen blockieren. Anweisungen, wie Sie Ihre AWS Organizations Richtlinien überprüfen können, finden Sie im *AWS Organizations Benutzerhandbuch* unter [Alle Richtlinien auflisten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html#list-all-pols-in-org.html).
Wenn Sie Ihre Warteschlangenrichtlinie für ein Mitgliedskonto falsch konfiguriert haben, um allen Benutzern den Zugriff auf Ihre Amazon SQS SQS-Warteschlange zu verweigern, können Sie die Warteschlange außerdem entsperren, indem Sie eine privilegierte Sitzung für das Mitgliedskonto in IAM starten. Sobald Sie eine privilegierte Sitzung gestartet haben, können Sie die falsch konfigurierte Warteschlangenrichtlinie löschen, um wieder Zugriff auf die Warteschlange zu erhalten. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Ausführen einer privilegierten Aufgabe für ein AWS Organizations Mitgliedskonto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html).
# Richtlinien mit Amazon SQS verwenden
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und die für Sie verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre Amazon-Simple-Queue-Service-Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Übersicht über die Zugriffsverwaltung in Amazon SQS](sqs-overview-of-managing-access.md).
Mit Ausnahme von `ListQueues` unterstützen alle Amazon-SQS-Aktionen Berechtigungen auf Ressourcenebene. Weitere Informationen finden Sie unter [Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen](sqs-api-permissions-reference.md).
## Verwenden von Amazon-SQS- und IAM-Richtlinien
Es gibt zwei Möglichkeiten, Ihren Benutzern Berechtigungen für Ihre Amazon SQS SQS-Ressourcen zu erteilen: mithilfe des Amazon SQS SQS-Richtliniensystems (ressourcenbasierte Richtlinien) und mithilfe des IAM-Richtliniensystems (identitätsbasierte Richtlinien). Sie können eine oder beide Methoden verwenden, mit Ausnahme der `ListQueues` Aktion, bei der es sich um eine regionale Genehmigung handelt, die nur in einer IAM-Richtlinie festgelegt werden kann.
Die folgende Abbildung zeigt eine IAM-Richtlinie und eine entsprechende Amazon-SQS-Richtlinie. Die IAM-Richtlinie gewährt die Rechte an Amazon SQS `ReceiveMessage` und `SendMessage` Aktionen für die Warteschlange, die `queue_xyz` in Ihrem AWS Konto aufgerufen wurde, und die Richtlinie gilt für Benutzer mit den Namen Bob und Susan (Bob und Susan verfügen über die in der Richtlinie angegebenen Berechtigungen). Diese Amazon-SQS-Richtlinie erteilt Bob und Susan Berechtigungen zum Ausführen der Aktionen `ReceiveMessage` und `SendMessage` für dieselbe Warteschlange.
**Anmerkung**
Das folgende Beispiel zeigt einfache Richtlinien ohne Bedingungen. Sie können eine bestimmte Bedingung in einer der Richtlinien angeben und erhalten dasselbe Ergebnis.
![\[Diagramm, in dem eine IAM-Richtlinie und eine entsprechende Amazon SQS SQS-Richtlinie verglichen werden. Die IAM-Richtlinie gewährt die Rechte an Amazon SQS ReceiveMessage und SendMessage Aktionen für die Warteschlange, die queue_xyz in Ihrem AWS Konto aufgerufen wurde, und die Richtlinie gilt für Benutzer mit den Namen Bob und Susan (Bob und Susan verfügen über die in der Richtlinie angegebenen Berechtigungen). Diese Amazon-SQS-Richtlinie erteilt Bob und Susan Berechtigungen zum Ausführen der Aktionen ReceiveMessage und SendMessage für dieselbe Warteschlange.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-equivalent.png)
Es gibt einen wesentlichen Unterschied zwischen IAM- und Amazon SQS SQS-Richtlinien: Mit dem Amazon SQS SQS-Richtliniensystem können Sie anderen AWS Konten Berechtigungen erteilen, während dies bei IAM nicht der Fall ist.
Sie entscheiden, wie Sie beide Systeme zum Verwalten von Berechtigungen verwenden. Die folgenden Beispiele zeigen, wie die beiden Richtliniensysteme zusammenarbeiten.
+ Im ersten Beispiel verfügt Bob sowohl über eine IAM-Richtlinie als auch über eine Amazon-SQS-Richtlinie, die für sein Konto gelten. Die IAM-Richtlinie erteilt seinem Konto die Berechtigung für die Aktion `ReceiveMessage` für `queue_xyz`, während die Amazon-SQS-Richtlinie sein Konto berechtigt, die Aktion `SendMessage` für dieselbe Warteschlange auszuführen. Das folgende Diagramm verdeutlicht das Konzept.
![\[Diagramm, in dem die Komponenten einer IAM-Richtlinie mit einer Amazon SQS SQS-Richtlinie verglichen werden. Im ersten Beispiel verfügt Bob sowohl über eine IAM-Richtlinie als auch über eine Amazon-SQS-Richtlinie, die für sein Konto gelten. Die IAM-Richtlinie erteilt seinem Konto die Berechtigung für die Aktion ReceiveMessage für queue_xyz, während die Amazon-SQS-Richtlinie sein Konto berechtigt, die Aktion SendMessage für dieselbe Warteschlange auszuführen.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-union.png)
Wenn Bob eine `ReceiveMessage`-Anforderung an `queue_xyz` sendet, lässt die IAM-Richtlinie die Aktion zu. Wenn Bob eine `SendMessage`-Anforderung an `queue_xyz` sendet, lässt die Amazon-SQS-Richtlinie die Aktion zu.
+ Im zweiten Beispiel missbraucht Bob seinen Zugriff auf `queue_xyz`, sodass es nötig wird, seinen gesamten Zugriff auf die Warteschlange zu verweigern Der einfachste Weg ist, eine Richtlinie hinzuzufügen, die ihm den Zugriff auf alle Aktionen für die Warteschlange verweigert. Diese Richtlinie setzt die beiden anderen außer Kraft, da ein explizites `deny` ein `allow`immer überschreibt. Weitere Informationen zur Richtlinienauswertungslogik finden Sie unter [Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS](sqs-creating-custom-policies.md). Das folgende Diagramm verdeutlicht das Konzept.
![\[Diagramm, das eine IAM-Richtlinienüberschreibung mit einer Amazon SQS SQS-Richtlinie zeigt. Bob missbraucht seinen Zugriff aufqueue_xyz, sodass es notwendig wird, seinen gesamten Zugriff auf die Warteschlange zu entfernen. Der einfachste Weg ist, eine Richtlinie hinzuzufügen, die ihm den Zugriff auf alle Aktionen für die Warteschlange verweigert. Diese Richtlinie setzt die beiden anderen außer Kraft, da ein explizites deny ein allowimmer überschreibt.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-deny-override.png)
Sie können der Amazon-SQS-Richtlinie auch eine Anweisung hinzufügen, die Bob alle Zugriffe auf die Warteschlange verweigert. Dies hat die gleiche Auswirkung wie das Hinzufügen einer IAM-Richtlinie, die Bob den Zugriff auf die Warteschlange verweigert. Beispiele von Richtlinien, die Amazon-SQS-Aktionen und -Ressourcen abdecken, finden Sie unter [Grundlegende Beispiele für Amazon-SQS-Richtlinien](sqs-basic-examples-of-sqs-policies.md). Weitere Informationen zum Erstellen von Amazon-SQS-Richtlinien finden Sie unter [Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS](sqs-creating-custom-policies.md).
## Erforderliche Berechtigungen zur Verwendung der Amazon-SQS-Konsole
Ein Benutzer, der mit der Amazon-SQS-Konsole arbeiten möchte, muss über die Mindestmenge an Berechtigungen verfügen, die es ihm erlauben, die Amazon-SQS-Warteschlangen im AWS-Konto des Benutzers zu verwenden. Beispielsweise muss der Benutzer über die Berechtigung zum Aufruf der Aktion `ListQueues` verfügen, um Warteschlangen aufzulisten, oder über die Berechtigung zum Aufruf der Aktion `CreateQueue`, um Warteschlangen erstellen zu können. Zusätzlich zu den Amazon-SQS-Berechtigungen erfordert die Konsole zum Abonnieren einer Amazon-SQS-Warteschlange für ein Amazon-SNS-Thema Berechtigungen für Amazon-SNS-Aktionen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole möglicherweise nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie.
Sie müssen Benutzern, die nur die Aktionen AWS CLI oder Amazon SQS aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
# Beispiele für identitätsbasierte Richtlinien für Amazon SQS
Benutzer und Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von Amazon-SQS-Ressourcen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon SQS definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Simple Queue Service in der Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html) *Authorization Reference.*
**Anmerkung**
Wenn Sie Lebenszyklus-Hooks für Amazon EC2 Auto Scaling konfigurieren, müssen Sie keine Richtlinie schreiben, um Nachrichten an eine Amazon-SQS-Warteschlange zu senden. Weitere Informationen finden Sie unter [Amazon EC2 Auto Scaling Lifecycle Hooks](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html) im *Amazon EC2-Benutzerhandbuch*.
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand Amazon-SQS-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder daraus löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon-SQS-Konsole
Um auf die Konsole von Amazon Simple Queue Service zugreifen zu können, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon SQS SQS-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen weiterhin die Amazon SQS SQS-Konsole verwenden können, fügen Sie den Entitäten auch die `AmazonSQSReadOnlyAccess` AWS verwaltete Amazon SQS SQS-Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Erlauben Sie einem Benutzer, Warteschlangen zu erstellen
Im folgenden Beispiel wird eine Richtlinie für den Benutzer Bob erstellt, mit der er zwar auf alle Amazon-SQS-Aktionen zugreifen kann, aber nur mit Warteschlangen, deren Namen mit dem Präfix der Literalzeichenfolge `alice_queue_` versehen sind.
Amazon SQS gewährt dem Ersteller einer Warteschlange nicht automatisch Berechtigungen zum Verwenden der Warteschlange. Daher müssen wir Bob explizit Berechtigungen zum Verwenden aller Amazon-SQS-Aktionen zusätzlich zur Aktion `CreateQueue` in der IAM-Richtlinie erteilen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "arn:aws:sqs:*:123456789012:alice_queue_*"
}]
}
```
------
## Erlauben Sie Entwicklern, Nachrichten in eine gemeinsam genutzte Warteschlange zu schreiben
Im folgenden Beispiel erstellen wir eine Gruppe für Entwickler und fügen eine Richtlinie hinzu, die es der Gruppe ermöglicht, die Amazon SQS `SendMessage` SQS-Aktion zu verwenden, aber nur mit der Warteschlange, die zu der angegebenen gehört AWS-Konto und benannt `MyCompanyQueue` ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:*:123456789012:MyCompanyQueue"
}]
}
```
------
Sie können `*` anstelle von `SendMessage` verwenden, um die folgenden Aktionen auf einen Prinzipal auf einer gemeinsamen Warteschlange zu gewähren: `ChangeMessageVisibility`, `DeleteMessage``GetQueueAttributes`, `GetQueueUrl`, `ReceiveMessage` und `SendMessage`.
**Anmerkung**
Obwohl `*` den von den anderen Berechtigungstypen bereitgestellten Zugriff beinhaltet, werden Berechtigungen von Amazon SQS als separat betrachtet. Es ist beispielsweise möglich, einem Benutzer sowohl die Berechtigung `*` als auch die Berechtigung `SendMessage` zu erteilen, obwohl ein `*` den von `SendMessage` bereitgestellten Zugriff gewährt.
Dieses Konzept gilt auch, wenn Sie eine Berechtigung entfernen. Wenn einem Prinzipal lediglich eine `*`-Berechtigung gewährt wurde, verfügt er durch die Anforderung zum Entfernen einer `SendMessage`-Berechtigung *nicht* ausschließlich über eine *alles außer*-Berechtigung. Stattdessen hat die Anforderung keine Auswirkungen, da der Prinzipal keine explizite `SendMessage`-Berechtigung besitzt. Wenn dem Prinzipal lediglich die `ReceiveMessage`-Berechtigung erteilt werden soll, fügen Sie die `ReceiveMessage`-Berechtigung hinzu und entfernen Sie die `*`-Berechtigung.
## Erlauben Sie Managern, die allgemeine Größe von Warteschlangen zu ermitteln
Im folgenden Beispiel erstellen wir eine Gruppe für Manager und fügen eine Richtlinie hinzu, die es der Gruppe ermöglicht, die Amazon SQS `GetQueueAttributes` SQS-Aktion mit allen Warteschlangen zu verwenden, die zu dem angegebenen AWS Konto gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:GetQueueAttributes",
"Resource": "*"
}]
}
```
------
## Erlauben Sie einem Partner, Nachrichten an eine bestimmte Warteschlange zu senden
Sie können diese Aufgabe mit einer Amazon-SQS- oder einer IAM-Richtlinie ausführen. Wenn Ihr Partner über eine verfügt AWS-Konto, ist es möglicherweise einfacher, eine Amazon SQS SQS-Richtlinie zu verwenden. Jeder Benutzer im Unternehmen des Partners, der über die AWS Sicherheitsanmeldedaten verfügt, kann jedoch Nachrichten an die Warteschlange senden. Wenn Sie den Zugriff auf einen bestimmten Benutzer oder eine Anwendung beschränken möchten, müssen Sie den Partner wie einen Benutzer in Ihrem eigenen Unternehmen behandeln und eine IAM-Richtlinie anstelle einer Amazon-SQS-Richtlinie verwenden.
Dieses Beispiel führt die folgenden Aktionen aus:
1. Erstellen Sie eine Gruppe WidgetCo , die das Partnerunternehmen repräsentiert.
1. Erstellt einen Benutzer für den jeweiligen Benutzer oder die Anwendung des Unternehmens des Partners, der bzw. die Zugriff erfordert.
1. Fügen Sie den Benutzer zur Gruppe hinzu.
1. Fügt eine Richtlinie an, mit der die Gruppe nur Zugriff auf die Aktion `SendMessage` ausschließlich für die Warteschlange mit dem Namen `WidgetPartnerQueue` erhält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:*:123456789012:WidgetPartnerQueue"
}]
}
```
------
# Grundlegende Beispiele für Amazon-SQS-Richtlinien
Dieser Abschnitt zeigt Richtlinienbeispiele für allgemeine Amazon-SQS-Anwendungsfälle.
Während Sie dem Benutzer die Richtlinien zuweisen, können Sie die Konsole verwenden, um die Auswirkungen der einzelnen Richtlinien zu überprüfen. Zunächst verfügt der Benutzer über keine Berechtigungen und kann in der Konsole keine Aktionen ausführen. Während Sie dem Benutzer Richtlinien zuweisen, können Sie überprüfen, ob der Benutzer die verschiedenen Aktionen in der Konsole ausführen kann.
**Anmerkung**
Es wird empfohlen, zwei Browserfenster zu verwenden: eines, um Berechtigungen zu erteilen, und das andere, um sich AWS-Managementkonsole mit den Anmeldeinformationen des Benutzers anzumelden, um die Berechtigungen zu überprüfen, während Sie sie dem Benutzer gewähren.
## Beispiel 1: Erteilen Sie einem Benutzer eine Berechtigung AWS-Konto
Die folgende Beispielrichtlinie gewährt AWS-Konto Number `111122223333` die `SendMessage` Berechtigung für die Warteschlange, die `444455556666/queue1` in der Region USA Ost (Ohio) benannt ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_SendMessage",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
}]
}
```
------
## Beispiel 2: Erteilen Sie einer Person zwei Berechtigungen AWS-Konto
Die folgende Beispielrichtlinie gewährt der genannten Warteschlange `111122223333` `SendMessage` sowohl die AWS-Konto Nummer als auch die `ReceiveMessage` Berechtigung`444455556666/queue1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_Send_Receive",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:*:444455556666:queue1"
}]
}
```
------
## Beispiel 3: Erteilen Sie zwei Personen alle Berechtigungen AWS-Konten
Die folgende Beispielrichtlinie gewährt zwei verschiedene AWS-Konten Nummern (`111122223333`und`444455556666`) die Erlaubnis, alle Aktionen zu verwenden, für die Amazon SQS gemeinsamen Zugriff für die Warteschlange gewährt, die `123456789012/queue1` in der Region USA Ost (Ohio) benannt ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AllActions",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333",
"444455556666"
]
},
"Action": "sqs:*",
"Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
}]
}
```
------
## Beispiel 4: Einer Rolle und einem Benutzernamen kontenübergreifende Berechtigungen erteilen
Die folgende Beispielrichtlinie gewährt `role1` einer Person `username1` unter der AWS-Konto Nummer `111122223333` kontoübergreifend die Erlaubnis, alle Aktionen zu verwenden, für die Amazon SQS gemeinsamen Zugriff auf die Warteschlange gewährt, die `123456789012/queue1` in der Region USA Ost (Ohio) benannt ist.
Kontoübergreifende Berechtigungen gelten nicht für die folgenden Aktionen:
+ `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
+ `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
+ `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
+ `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
+ `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
+ `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
+ `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
+ `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
+ `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
+ `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
+ `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
+ `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AllActions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/role1",
"arn:aws:iam::111122223333:user/username1"
]
},
"Action": "sqs:*",
"Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
}]
}
```
------
## Beispiel 5: Allen Benutzern eine Berechtigung erteilen
Mit der folgenden Beispielrichtlinie wird allen Benutzern (anonymen Benutzern) die Berechtigung `ReceiveMessage` für die Warteschlange mit dem Namen `111122223333/queue1` erteilt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AnonymousAccess_ReceiveMessage",
"Effect": "Allow",
"Principal": "*",
"Action": "sqs:ReceiveMessage",
"Resource": "arn:aws:sqs:*:111122223333:queue1"
}]
}
```
------
## Beispiel 6: Allen Benutzern eine zeitlich begrenzte Berechtigung erteilen
Das folgende Beispiel gewährt die Berechtigung `ReceiveMessage` allen Benutzern (anonymen Benutzern) der Warteschlange mit dem Namen `111122223333/queue1`, aber nur zwischen 12:00 Uhr und 15:00 Uhr am 31. Januar 2009.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit",
"Effect": "Allow",
"Principal": "*",
"Action": "sqs:ReceiveMessage",
"Resource": "arn:aws:sqs:*:111122223333:queue1",
"Condition" : {
"DateGreaterThan" : {
"aws:CurrentTime":"2009-01-31T12:00Z"
},
"DateLessThan" : {
"aws:CurrentTime":"2009-01-31T15:00Z"
}
}
}]
}
```
------
## Beispiel 7: Allen Benutzern in einem CIDR-Bereich sämtliche Berechtigungen erteilen
Die folgende Beispielrichtlinie erteilt allen Benutzern (anonymen Benutzern) die Berechtigung zur Verwendung aller möglichen Amazon-SQS-Aktionen, die für die Warteschlange mit dem Namen `111122223333/queue1` gemeinsam genutzt werden können, jedoch nur, wenn die Anfrage aus dem `192.0.2.0/24`-CIDR-Bereich kommt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP",
"Effect": "Allow",
"Principal": "*",
"Action": "sqs:*",
"Resource": "arn:aws:sqs:*:111122223333:queue1",
"Condition" : {
"IpAddress" : {
"aws:SourceIp":"192.0.2.0/24"
}
}
}]
}
```
------
## Beispiel 8: Berechtigungen für Benutzer in verschiedenen CIDR-Bereichen über Zulassungslisten und Sperrlisten
Die folgende Beispielrichtlinie enthält zwei Anweisungen:
+ Die erste Anweisung gewährt allen Benutzer (anonymen Benutzern) im CIDR-Bereich `192.0.2.0/24` (mit Ausnahme von `192.0.2.188`) die Berechtigung zur Verwendung der Aktion `SendMessage` für die Warteschlange mit dem Namen `111122223333`/queue1.
+ Die zweite Anweisung verwehrt allen Benutzern (anonyme Benutzer) im CIDR-Bereich `12.148.72.0/23` die Nutzung der Warteschlange.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Queue1_Policy_UUID",
"Statement": [{
"Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit",
"Effect": "Allow",
"Principal": "*",
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:*:111122223333:queue1",
"Condition" : {
"IpAddress" : {
"aws:SourceIp":"192.0.2.0/24"
},
"NotIpAddress" : {
"aws:SourceIp":"192.0.2.188/32"
}
}
}, {
"Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny",
"Effect": "Deny",
"Principal": "*",
"Action": "sqs:*",
"Resource": "arn:aws:sqs:*:111122223333:queue1",
"Condition" : {
"IpAddress" : {
"aws:SourceIp":"12.148.72.0/23"
}
}
}]
}
```
------
# Verwenden von benutzerdefinierten Richtlinien mit der Sprache der Zugriffsrichtlinie von Amazon SQS
Um grundlegende Berechtigungen (wie [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html)oder [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html)) nur auf der Grundlage einer AWS-Konto ID zu gewähren, müssen Sie keine benutzerdefinierte Richtlinie schreiben. Verwenden Sie stattdessen die Amazon SQS [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)SQS-Aktion.
Um den Zugriff auf der Grundlage bestimmter Bedingungen wie der Anforderungszeit oder der IP-Adresse des Anforderers zuzulassen oder zu verweigern, müssen Sie eine benutzerdefinierte Amazon SQS SQS-Richtlinie erstellen und diese mithilfe der [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)Aktion hochladen.
**Topics**
+ [Zugriffskontrollarchitektur](sqs-creating-custom-policies-architecture.md)
+ [Prozess-Workflow für die Zugriffskontrolle](sqs-creating-custom-policies-process-workflow.md)
+ [Die wichtigsten Konzepte der Sprache der Zugriffsrichtlinie](sqs-creating-custom-policies-key-concepts.md)
+ [Bewertungslogik der Sprache der Zugriffsrichtlinie](sqs-creating-custom-policies-evaluation-logic.md)
+ [Beziehungen zwischen expliziten und standardmäßigen Zugriffsverweigerungen](sqs-creating-custom-policies-relationships-between-explicit-default-denials.md)
+ [Einschränkungen benutzerdefinierter Richtlinien](sqs-limitations-of-custom-policies.md)
+ [Beispiele für eine benutzerdefinierte Sprache der Zugriffsrichtlinie](sqs-creating-custom-policies-access-policy-examples.md)
# Amazon-SQS-Zugriffskontrollarchitektur
Das folgende Diagramm beschreibt die Zugriffskontrolle für Ihre Amazon-SQS-Ressourcen.
![\[Beschreibt die Zugriffskontrolle für Ihre Amazon SQS SQS-Ressourcen.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Arch_Overview.png)
![\[In the previous diagram, section number one.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) Sie selbst als Ressourceneigentümer.
![\[In the previous diagram, section number two.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png)Ihre im AWS Service enthaltenen Ressourcen (z. B. Amazon SQS SQS-Warteschlangen).
![\[In the previous diagram, section number three.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Ihre Richtlinien. Es empfiehlt sich eine Richtlinie pro Ressource. Der AWS Service bietet eine API, mit der Sie Ihre Richtlinien hochladen und verwalten können.
![\[In the previous diagram, section number four.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png)-Anforderer und deren eingehende Anforderungen an den AWS -Service.
![\[In the previous diagram, section number five.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) Der Code für die Auswertung der Sprache der Zugriffsrichtlinie. Dies ist der Codesatz innerhalb des AWS Dienstes, der eingehende Anfragen anhand der geltenden Richtlinien bewertet und bestimmt, ob dem Antragsteller Zugriff auf die Ressource gewährt wird.
# Prozess-Workflow für die Amazon-SQS-Zugriffskontrolle
Das folgende Diagramm beschreibt den allgemeinen Workflow der Zugriffskontrolle der Sprache der Zugriffsrichtlinie von Amazon SQS.
![\[Der allgemeine Arbeitsablauf der Zugriffskontrolle mit der Sprache der Amazon SQS SQS-Zugriffsrichtlinien.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Basic_Flow.png)
![\[Figure one in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) Sie schreiben eine Amazon-SQS-Richtlinie für Ihre Warteschlange.
![\[Figure two in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png)Sie laden Ihre Richtlinie auf AWS hoch. Der AWS Dienst stellt eine API bereit, die Sie zum Hochladen Ihrer Richtlinien verwenden. Sie verwenden beispielsweise die Amazon-SQS-Aktion `SetQueueAttributes` zum Hochladen einer Richtlinie für eine bestimmte Amazon-SQS-Warteschlange.
![\[Figure three in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Jemand sendet eine Anforderung zur Verwendung Ihrer Amazon-SQS-Warteschlange.
![\[Figure four in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png) Amazon SQS prüft alle verfügbaren Amazon-SQS-Richtlinien und bestimmt, welche zutreffend sind.
![\[Figure five in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) Amazon SQS bewertet die Richtlinien und bestimmt, ob der Anforderer Ihre Warteschlange verwenden darf.
![\[Figure six in the previous diagram.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-6-red.png) Basierend auf dem Ergebnis der Richtlinienauswertung gibt Amazon SQS entweder einen `Access denied`-Fehler an den Anforderer zurück oder verarbeitet die Anforderung.
# Die wichtigsten Konzepte der Sprache der Zugriffsrichtlinie von Amazon SQS
Zum Schreiben Ihrer eigenen Richtlinien müssen Sie mit [JSON](http://json.org/) und einer Reihe von wichtigen Konzepten vertraut sein.
**Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf**
Das Ergebnis einer [Statement](#statement), bei der [Effect (Effekt)](#effect) auf `allow` festgelegt ist.
**Action (Aktion)**
Die Aktivität, zu der [Auftraggeber](#principal) berechtigt ist, in der Regel eine Anforderung an AWS.
**Default-deny**
Das Ergebnis einer [Statement](#statement), die weder über die Einstellung [Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf](#allow) noch [Explicit-deny](#explicit-deny) verfügt.
**Bedingung**
Jede Einschränkung oder jedes Detail zu einer [Berechtigung](#permission). Bedingungen sind in der Regel auf das Datum, die Uhrzeit und IP-Adressen bezogen.
**Effect (Effekt)**
Das Ergebnis, die die [Statement](#statement) einer [Richtlinie](#policy) zu Auswertungszeit zurückgeben soll. Sie geben den Wert `deny` oder `allow` an, wenn Sie die Richtlinienanweisung schreiben. Bei der Richtlinienauswertung sind drei Ergebnisse möglich: [Default-deny](#default-deny), [Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf](#allow) und [Explicit-deny](#explicit-deny).
**Explicit-deny**
Das Ergebnis einer [Statement](#statement), bei der [Effect (Effekt)](#effect) auf `deny` festgelegt ist.
**Bewertung**
Der Prozess, mit dem Amazon SQS ermittelt, ob eine eingehende Anforderung basierend auf einer [Richtlinie](#policy) verweigert oder erlaubt werden soll.
**Aussteller**
Der Benutzer, der eine [Richtlinie](#policy) erstellt, um einer Ressource Berechtigungen zu erteilen. Der Emittent ist per Definition immer der Eigentümer der Ressource. AWS erlaubt Amazon SQS SQS-Benutzern nicht, Richtlinien für Ressourcen zu erstellen, die ihnen nicht gehören.
**Key** (Schlüssel)
Das besondere Merkmal, das die Grundlage für die Einschränkung des Zugriffs bildet.
**Berechtigung**
Das Konzept, den Zugriff auf eine Ressource mit einer [Bedingung](#condition) und einem [Key (Schlüssel)](#key) zuzulassen oder abzulehnen.
**Richtlinie**
Das Dokument dient als Container für eine oder mehrere **[Anweisungen](#statement)**.
![\[Richtlinie A, die Aussage 1 und Aussage 2 enthält, entspricht Richtlinie A, die Aussage 1 enthält, und Richtlinie B, die Aussage 2 enthält.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Statement_and_Policy.png)
Amazon SQS verwendet die Richtlinie, um zu bestimmen, ob einem Benutzer der Zugriff auf eine Ressource gewährt werden soll.
**Auftraggeber**
Der Benutzer, der die [Berechtigung](#permission) in der [Richtlinie](#policy) erhält.
**Ressource**
Das Objekt, auf das die [Auftraggeber](#principal)-Anforderungen zugreifen.
**Statement**
Die formelle Beschreibung einer einzelnen Berechtigung, die in der Sprache der Zugriffsrichtlinie als Teil eines umfassenderen [Richtlinie](#policy)-Dokuments verfasst ist.
**Auftraggeber**
Der Benutzer, der eine Anforderung für den Zugriff auf eine [Ressource](#resource) sendet.
# Bewertungslogik der Sprache der Zugriffsrichtlinie von Amazon SQS
Zum Zeitpunkt der Auswertung bestimmt Amazon SQS, ob eine Anforderung von einem anderen Benutzer als dem Ressourceneigentümer zugelassen oder abgelehnt werden soll. Die Auswertungslogik unterliegt mehreren Grundregeln:
+ Standardmäßig werden alle Anforderungen zur Verwendung Ihrer Ressourcen, die nicht von Ihnen stammen, verweigert.
+ Ein *[Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf](sqs-creating-custom-policies-key-concepts.md#allow)* setzt jedes *[Default-deny](sqs-creating-custom-policies-key-concepts.md#default-deny)* außer Kraft.
+ Ein *[Explicit-deny](sqs-creating-custom-policies-key-concepts.md#explicit-deny)* setzt jedes **allow** außer Kraft.
+ Es spielt keine Rolle, in welcher Reihenfolge die Richtlinien ausgewertet werden.
Im folgenden Diagramm wird detailliert beschrieben, wie Amazon SQS Entscheidungen im Hinblick auf Zugriffsberechtigungen trifft.
![\[Flussdiagramm, das beschreibt, wie Amazon SQS Entscheidungen über Zugriffsberechtigungen bewertet.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Evaluation_Flow.png)
![\[In the previous diagram, number one.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) Die Entscheidung beginnt mit **default-deny**.
![\[In the previous diagram, number two.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png) Es werden alle Richtlinien ausgewertet, die auf die Anforderung anwendbar sind (basierend auf der Ressource, dem Prinzipal, der Aktion und den Bedingungen). Es spielt keine Rolle, in welcher Reihenfolge der Durchführungscode die Richtlinien auswertet.
![\[In the previous diagram, number three.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Der Durchführungscode sucht nach einer **explicit-deny**-Anweisung, die für die Anforderung gelten könnte. Wird eine Anweisung gefunden, gibt der Durchführungscode die Entscheidung **deny** zurück und der Prozess wird beendet.
![\[In the previous diagram, number four.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png) Wenn keine **explicit-deny**-Anweisung gefunden wird, wird nach **allow**-Anweisungen gesucht, die auf die Anfrage zutreffen können. Wenn auch nur eine explizite Zugriffserlaubnis gefunden wird, wird **allow** zurückgegeben und der Prozess beendet (der Service setzt die Verarbeitung der Anforderung fort).
![\[In the previous diagram, number five.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) Wenn keine **allow**-Anweisung gefunden wird, ist die endgültige Entscheidung **deny** (da es kein **explicit-deny** bzw. **allow** gab, gilt dies als **default-deny**).
# Beziehungen zwischen expliziten und standardmäßigen Ablehnungen in der Sprache der Zugriffsrichtlinie von Amazon SQS
Wenn eine Amazon-SQS-Richtlinie nicht direkt auf eine Anforderung anwendbar ist, führt dies im Ergebnis zu *[Default-deny](sqs-creating-custom-policies-key-concepts.md#default-deny)*. Wenn ein Benutzer z. B. die Berechtigung zur Nutzung von Amazon SQS anfordert, aber die einzige für den Benutzer anwendbare Richtlinie DynamoDB verwenden kann, ist das Ergebnis **default-deny**.
Wenn eine Bedingung in einer Anweisung nicht erfüllt ist, hat die Anforderung **default-deny** zur Folge. Wenn alle Bedingungen einer Anweisung erfüllt sind, hat dies für diese Anforderung abhängig vom Wert des Elements *[Effect (Effekt)](sqs-creating-custom-policies-key-concepts.md#effect)* entweder *[Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf](sqs-creating-custom-policies-key-concepts.md#allow)* oder *[Explicit-deny](sqs-creating-custom-policies-key-concepts.md#explicit-deny)* zur Folge. In Richtlinien ist nicht festgelegt, was geschieht, wenn eine Bedingung nicht erfüllt ist, daher ist das Ergebnis in diesem Fall **default-deny**. Angenommen, Sie möchten Anforderungen, die aus der Antarktis stammen, ablehnen. Sie erstellen die Richtlinie A1, um Zugriff nur dann zu gewähren, wenn Anforderungen von außerhalb der Antarktis kommen. Die Amazon-SQS-Richtlinie ist in der folgenden Abbildung dargestellt.
![\[Richtlinie A1, in der „Wirkung“ gleich „Zulassen“ und „Bedingung“ steht, wenn die Anfrage nicht aus der Antarktis stammt.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-allow-request-if-not-from-antarctica.png)
Wenn ein Benutzer eine Anforderung aus den USA sendet, wird die Bedingung erfüllt (die Anforderung stammt nicht aus der Antarktis), und die Anforderung hat **allow** zur Folge. Wenn ein Benutzer allerdings eine Anforderung aus der Antarktis sendet, ist die Bedingung nicht erfüllt und die Anforderung führt standardmäßig zu **default-deny**. Sie können das Ergebnis von **default-deny** ändern, indem Sie Richtlinie A2 erstellen, die einer Anforderung den Zugriff ausdrücklich verweigert, wenn sie aus der Antarktis stammt. Diese Richtlinie ist in der folgenden Abbildung dargestellt.
![\[Richtlinie A2, wobei Effect gleich Deny und Condition gleich ist, wenn die Anfrage aus der Antarktis kommt.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-explicitly-deny-request-if-from-antarctica.png)
Wenn ein Benutzer eine Anforderung aus der Antarktis sendet, ist die Bedingung erfüllt und die Anforderung führt zu **explicit-deny**.
Der Unterschied zwischen **default-deny** und **explicit-deny** ist wichtig, da **allow** zwar eine standardmäßige Ablehnung, aber keine explizite Zugriffsverweigerung außer Kraft setzen kann. Beispiel: Richtlinie B lässt Anforderungen zu, wenn sie am 1. Juni 2010 eingehen. Das folgende Diagramm vergleicht die Kombination dieser Richtlinie mit Richtlinie A1 und Richtlinie A2.
![\[Ein side-by-side Vergleich zwischen Szenario 1 und Szenario 2.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-compare-allow-request-deny-request-policies-override.png)
In Szenario 1 liefert Richtlinie A1 das Ergebnis **default-deny** und Richtlinie B **allow**, weil die Richtlinie Anforderungen zulässt, die am 1. Juni 2010 eingehen. Das **allow** aus Richtlinie B überschreibt **default-deny** aus Richtlinie A1 und die Anforderung wird zugelassen.
In Szenario 2 hat Richtlinie B2 **explicit-deny** und Richtlinie B **allow** zur Folge. Das **allow** aus Richtlinie B wird durch **explicit-deny** aus Richtlinie A2 überschrieben und die Anforderung wird abgelehnt.
# Einschränkungen der benutzerdefinierten Amazon SQS SQS-Richtlinien
## Kontoübergreifender Zugriff
Kontoübergreifende Berechtigungen gelten nicht für die folgenden Aktionen:
+ `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
+ `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
+ `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
+ `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
+ `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
+ `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
+ `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
+ `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
+ `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
+ `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
+ `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
+ `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`
## Bedingungsschlüssel
Derzeit unterstützt Amazon SQS nur einen eingeschränkten Teilbereich der [in IAM verfügbaren Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys). Weitere Informationen finden Sie unter [Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen](sqs-api-permissions-reference.md).
# Beispiele für eine benutzerdefinierte Sprache der Zugriffsrichtlinie von Amazon SQS
Nachfolgend sind Beispiele typischer Amazon-SQS-Zugriffsrichtlinien aufgeführt.
## Beispiel 1: Einem Konto eine Berechtigung erteilen
Das folgende Beispiel für eine Amazon-SQS-Richtlinie gewährt AWS-Konto 111122223333 die Berechtigung zum Senden an und zum Empfangen von `queue2`, in Eigentümerschaft von AWS-Konto 444455556666.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "UseCase1",
"Statement" : [{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"
}]
}
```
------
## Beispiel 2: Einem oder mehreren Konten eine Berechtigung erteilen
Das folgende Beispiel für eine Amazon SQS SQS-Richtlinie gewährt eine oder mehrere AWS-Konten Zugriff auf Warteschlangen, die Ihrem Konto gehören, für einen bestimmten Zeitraum. Es ist erforderlich, diese Richtlinie zu erstellen und mit der Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html) zu Amazon SQS hochzuladen, da die Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) bei der Zugriffserteilung für eine Warteschlange keine Angabe einer Zeitbeschränkung erlaubt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "UseCase2",
"Statement" : [{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333",
"444455556666"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
"Condition": {
"DateLessThan": {
"AWS:CurrentTime": "2009-06-30T12:00Z"
}
}
}]
}
```
------
## Beispiel 3: Berechtigung für Anforderungen von Amazon-EC2-Instances erteilen
Das folgende Beispiel für eine Amazon-SQS-Richtlinie erteilt den Zugriff für Anforderungen, die von Amazon-EC2-Instances stammen. Dieses Beispiel basiert auf dem Beispiel "[Beispiel 2: Einem oder mehreren Konten eine Berechtigung erteilen](#two-accounts)": Es beschränkt den Zugriff auf die Zeit vor dem 30. Juni 2009 12.00 Uhr (UTC) und auf den IP-Adressbereich `203.0.113.0/24`. Es ist erforderlich, diese Richtlinie zu erstellen und mit der Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html) in Amazon SQS hochzuladen, da die Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) bei der Zugriffserteilung für eine Warteschlange keine Angabe einer IP-Adressbeschränkung erlaubt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "UseCase3",
"Statement" : [{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
"Condition": {
"DateLessThan": {
"AWS:CurrentTime": "2009-06-30T12:00Z"
},
"IpAddress": {
"AWS:SourceIp": "203.0.113.0/24"
}
}
}]
}
```
------
## Beispiel 4: Zugriff für ein bestimmtes Konto verweigern
Das folgende Beispiel einer Amazon SQS SQS-Richtlinie verweigert einen bestimmten AWS-Konto Zugriff auf Ihre Warteschlange. Dieses Beispiel baut auf dem Beispiel "[Beispiel 1: Einem Konto eine Berechtigung erteilen](#one-account)" auf: Es verweigert den Zugriff auf die angegebene Datei. AWS-Konto Es ist erforderlich, diese Richtlinie zu erstellen und mit der Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html) zu Amazon SQS hochzuladen, da die Aktion [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) keine Zugriffsverweigerung für eine Warteschlange erlaubt (sie lässt nur die Erteilung des Zugriffs auf eine Warteschlange zu).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "UseCase4",
"Statement" : [{
"Sid": "1",
"Effect": "Deny",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"
}]
}
```
------
## Beispiel 5: Verweigerung des Zugriffs, wenn dieser nicht von einem VPC-Endpunkt aus erfolgt
Das folgende Beispiel für eine Amazon-SQS-Richtlinie beschränkt den Zugriff auf `queue1`: 111122223333 kann die Aktionen [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html) und [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html) nur von der VPC-Endpunkt-ID `vpce-1a2b3c4d` aus durchführen (angegeben mit der `aws:sourceVpce`-Bedingung). Weitere Informationen finden Sie unter [Endpunkte von Amazon Virtual Private Cloud für Amazon SQS](sqs-internetwork-traffic-privacy.md#sqs-vpc-endpoints).
**Anmerkung**
Die `aws:sourceVpce`-Bedingung benötigt keine ARN für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID.
Sie können das folgende Beispiel so abändern, dass alle Aktionen auf einen spezifischen VPC-Endpunkt eingeschränkt werden, indem Sie in der zweiten Anweisung alle Amazon-SQS-Aktionen (`sqs:*`) verweigern. Durch eine solche Richtlinienanweisung würde jedoch festgelegt, dass alle Aktionen (einschließlich von zum Ändern von Warteschlangen-Berechtigungen erforderlichen administrativen Aktionen) über den spezifischen, in der Richtlinie definierten VPC-Endpunkt erfolgen müssen; hierdurch würde dem Benutzer in der Zukunft das Ändern von Warteschlangen-Berechtigungen unmöglich gemacht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "UseCase5",
"Statement": [{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
},
{
"Sid": "2",
"Effect": "Deny",
"Principal": "*",
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
------
# Verwenden von temporären Sicherheitsanmeldeinformationen mit Amazon SQS
Mit IAM können Sie nicht nur Benutzer mit eigenen Sicherheitsanmeldedaten erstellen, sondern auch jedem Benutzer temporäre Sicherheitsanmeldedaten zuweisen, sodass der Benutzer auf Ihre AWS Dienste und Ressourcen zugreifen kann. Sie können Benutzer verwalten, die AWS-Konten haben. Sie können auch Benutzer für Ihr System verwalten, die noch keine haben AWS-Konten (Verbundbenutzer). Darüber hinaus können Anwendungen, die Sie für den Zugriff auf Ihre AWS Ressourcen erstellen, auch als „Benutzer“ betrachtet werden.
Sie können diese temporären Sicherheitsanmeldeinformationen für das Erstellen von Anforderungen an Amazon SQS verwenden. Die API-Bibliotheken berechnen anhand dieser Anmeldeinformationen den notwendigen Signaturwert, um Ihre Anforderung zu authentifizieren. Wenn Sie beim Senden von Anfragen abgelaufene Anmeldeinformationen verwenden, lehnt Amazon SQS die Anfrage ab.
**Anmerkung**
Sie können keine Richtlinie auf der Basis von temporären Anmeldeinformationen festlegen.
## Voraussetzungen
1. Verwenden Sie IAM zum Erstellen von temporären Sicherheitsanmeldeinformationen:
+ Sicherheits-Token
+ Access Key ID
+ Secret Access Key
1. Bereiten Sie die zu signierende Zeichenfolge mit der temporären Zugriffsschlüssel-ID und dem Sicherheits-Token vor.
1. Verwenden Sie den temporären geheimen Zugriffsschlüssel anstelle Ihres eigenen geheimen Zugriffsschlüssels, um Ihre Abfrage-API-Anforderung zu signieren.
**Anmerkung**
Wenn Sie die signierte Abfrage-API senden, verwenden Sie die temporäre Zugriffsschlüssel-ID anstelle Ihrer eigenen Zugriffsschlüssel-ID und schließen Sie das Sicherheits-Token ein. Weitere Informationen zur IAM-Unterstützung für temporäre Sicherheitsanmeldedaten finden Sie unter [Granting Temporary Access to Your AWS Resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/TokenBasedAuth.html) im *IAM-Benutzerhandbuch*.
## So rufen Sie eine Amazon-SQS-Abfrage-API-Aktion mit temporären Sicherheitsanmeldeinformationen auf
1. Fordern Sie ein temporäres Sicherheitstoken an mit AWS Identity and Access Management. Weitere Informationen finden Sie unter [Erstellen temporärer Sicherheitsanmeldeinformationen für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/CreatingSessionTokens.html) im *IAM-Benutzerhandbuch*.
IAM gibt ein Sicherheits-Token, eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel zurück.
1. Bereiten Sie Ihre Abfrage mit der temporären Zugriffsschlüssel-ID anstelle Ihrer eigenen Zugriffsschlüssel-ID vor und schließen Sie das Sicherheits-Token ein. Signieren Sie Ihre Anforderung mit dem temporären geheimen Zugriffsschlüssel anstelle Ihres eigenen Zugriffsschlüssels.
1. Senden Sie die signierte Abfragezeichenfolge mit der temporären Zugriffsschlüssel-ID und dem Sicherheits-Token.
Das folgende Beispiel zeigt, wie Sie temporäre Sicherheitsanmeldeinformationen zum Authentifizieren einer Amazon-SQS-Anforderung verwenden. Die Struktur von *`AUTHPARAMS`* hängt davon ab, wie Sie Ihre API-Anforderung signieren. Weitere Informationen finden Sie unter [AWS API-Anfragen signieren](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) in der *Allgemeinen Referenz zu Amazon Web Services*.
```
https://sqs.us-east-2.amazonaws.com/
?Action=CreateQueue
&DefaultVisibilityTimeout=40
&QueueName=MyQueue
&Attribute.1.Name=VisibilityTimeout
&Attribute.1.Value=40
&Expires=2020-12-18T22%3A52%3A43PST
&SecurityToken=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&Version=2012-11-05
&AUTHPARAMS
```
Das folgende Beispiel verwendet temporäre Sicherheitsanmeldeinformationen, um zwei Nachrichten mit der `SendMessageBatch`-Aktion zu senden.
```
https://sqs.us-east-2.amazonaws.com/
?Action=SendMessageBatch
&SendMessageBatchRequestEntry.1.Id=test_msg_001
&SendMessageBatchRequestEntry.1.MessageBody=test%20message%20body%201
&SendMessageBatchRequestEntry.2.Id=test_msg_002
&SendMessageBatchRequestEntry.2.MessageBody=test%20message%20body%202
&SendMessageBatchRequestEntry.2.DelaySeconds=60
&Expires=2020-12-18T22%3A52%3A43PST
&SecurityToken=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
&AWSAccessKeyId=AKIAI44QH8DHBEXAMPLE
&Version=2012-11-05
&AUTHPARAMS
```
# Zugriffsverwaltung für verschlüsselte Amazon SQS SQS-Warteschlangen mit Richtlinien für geringste Rechte
Sie können Amazon SQS verwenden, um vertrauliche Daten zwischen Anwendungen auszutauschen, indem Sie serverseitige Verschlüsselung (SSE) verwenden, die in [AWS Key Management Service (KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) integriert ist. Mit der Integration von Amazon SQS und können Sie die Schlüssel AWS KMS, die Amazon SQS schützen, sowie die Schlüssel, die Ihre anderen AWS Ressourcen schützen, zentral verwalten.
Mehrere AWS Dienste können als Ereignisquellen dienen, die Ereignisse an Amazon SQS senden. Um einer Ereignisquelle den Zugriff auf die verschlüsselte Amazon SQS SQS-Warteschlange zu ermöglichen, müssen Sie die Warteschlange mit einem [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS konfigurieren. Verwenden Sie dann die Schlüsselrichtlinie, damit der Service die erforderlichen AWS KMS API-Methoden verwenden kann. Der Service benötigt außerdem Berechtigungen zur Authentifizierung des Zugriffs, damit die Warteschlange Ereignisse senden kann. Sie können dies erreichen, indem Sie eine Amazon-SQS-Richtlinie verwenden. Dabei handelt es sich um eine ressourcenbasierte Richtlinie, mit der Sie den Zugriff auf die Amazon-SQS-Warteschlange und ihre Daten kontrollieren können.
Die folgenden Abschnitte enthalten Informationen darüber, wie Sie den Zugriff auf Ihre verschlüsselte Amazon SQS SQS-Warteschlange mithilfe der Amazon SQS SQS-Richtlinie und der AWS KMS Schlüsselrichtlinie kontrollieren können. Die Richtlinien in diesem Handbuch helfen Ihnen dabei, die [geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) zu erlangen.
In diesem Leitfaden wird auch beschrieben, wie ressourcenbasierte Richtlinien das [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) mithilfe der globalen IAM-Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) lösen.
**Topics**
+ [
## -Übersicht
](#sqs-least-privilege-overview)
+ [
## Schlüsselrichtlinie mit den geringsten Berechtigungen für Amazon SQS
](#sqs-least-privilege-use-case)
+ [
## Amazon-SQS-Richtlinienerklärungen für die Warteschlange für unzustellbare Nachrichten
](#sqs-policy-dlq)
+ [
## Vermeidung des serviceübergreifenden Confused-Deputy-Problems
](#sqs-confused-deputy-prevention)
+ [
## Verwenden von IAM Access Analyzer, um den kontoübergreifenden Zugriff zu überprüfen
](#sqs-cross-account-findings)
## -Übersicht
In diesem Thema werden wir Sie durch einen häufigen Anwendungsfall führen, um zu veranschaulichen, wie Sie die Schlüsselrichtlinie und die Amazon-SQS-Warteschlangenrichtlinie erstellen können. Dieser Anwendungsfall wird im folgenden Bild veranschaulicht.
![\[Veröffentlichen von Amazon-SNS-Nachrichten auf Amazon SQS.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-least-privilege.png)
In diesem Beispiel ist der Nachrichtenproduzent ein [Amazon Simple Notification Service (SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)-Thema, das so konfiguriert ist, dass es per Fanout Nachrichten in Ihre verschlüsselte Amazon-SQS-Warteschlange überträgt. Der Nachrichtenkonsument ist ein Computing-Service, z. B. eine [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)-Funktion, eine [Amazon Elastic Compute Cloud (EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)-Instance oder ein [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)-Container. Ihre Amazon-SQS-Warteschlange ist dann so konfiguriert, dass fehlgeschlagene Nachrichten an eine [Warteschlange für unzustellbare Nachrichten (DLQ)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-dead-letter-queues.html) gesendet werden. Dies ist nützlich für das Debuggen Ihrer Anwendung oder Ihres Messaging-Systems, da DLQs Sie nicht konsumierte Nachrichten isolieren können, um festzustellen, warum ihre Verarbeitung nicht erfolgreich war. In der in diesem Thema definierten Lösung wird ein Computing-Service wie eine Lambda-Funktion verwendet, um Nachrichten zu verarbeiten, die in der Amazon-SQS-Warteschlange gespeichert sind. Wenn sich der Nachrichtenverbraucher in einer Virtual Private Cloud (VPC) befindet, können Sie mit der in diesem Handbuch enthaltenen [`DenyReceivingIfNotThroughVPCE`](#sqs-restrict-message-to-endpoint)-Richtlinienanweisung den Nachrichtenempfang auf diese spezifische VPC beschränken.
**Anmerkung**
Dieses Handbuch enthält nur die erforderlichen IAM-Berechtigungen in Form von Richtlinienanweisungen. Um die Richtlinie zu erstellen, müssen Sie die Anweisungen zu Ihrer Amazon SQS SQS-Richtlinie oder Ihrer AWS KMS wichtigsten Richtlinie hinzufügen. Dieses Handbuch enthält keine Anweisungen zum Erstellen der Amazon SQS SQS-Warteschlange oder des AWS KMS Schlüssels. Anweisungen zum Erstellen dieser Ressourcen finden Sie unter [Erstellen einer Amazon-SQS-Warteschlange](creating-sqs-standard-queues.md#step-create-standard-queue) und [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
Die in diesem Handbuch definierte Amazon-SQS-Richtlinie unterstützt nicht die direkte Weiterleitung von Nachrichten an dieselbe oder eine andere Amazon-SQS-Warteschlange.
## Schlüsselrichtlinie mit den geringsten Berechtigungen für Amazon SQS
In diesem Abschnitt beschreiben wir die erforderlichen Berechtigungen mit den geringsten Rechten AWS KMS für den vom Kunden verwalteten Schlüssel, den Sie zum Verschlüsseln Ihrer Amazon SQS SQS-Warteschlange verwenden. Mit diesen Genehmigungen können Sie den Zugriff nur auf die vorgesehenen Entitäten beschränken und gleichzeitig die geringsten Berechtigungen implementieren. Die Schlüsselrichtlinie muss aus den folgenden Richtlinienanweisungen bestehen, die wir im Folgenden ausführlich beschreiben:
+ [Erteilen Sie Administratorrechte für den Schlüssel AWS KMS](#sqs-use-case-kms-admin-permissions)
+ [Gewährt Lesezugriff auf die wichtigsten Metadaten](#sqs-use-case-read-only-permissions)
+ [Gewährt Amazon SNS KMS-Berechtigungen, um Nachrichten für die Warteschlange zu veröffentlichen](#sqs-use-case-publish-messages-permissions)
+ [Konsumenten gestatten, Nachrichten aus der Warteschlange zu entschlüsseln](#sqs-use-case-decrypt-messages-permissions)
### Erteilen Sie Administratorrechte für den Schlüssel AWS KMS
Um einen AWS KMS Schlüssel zu erstellen, müssen Sie AWS KMS Administratorberechtigungen für die IAM-Rolle bereitstellen, die Sie für die Bereitstellung des AWS KMS Schlüssels verwenden. Diese Administratorberechtigungen sind in der folgenden `AllowKeyAdminPermissions`-Richtlinienanweisung definiert. Wenn Sie diese Aussage zu Ihrer AWS KMS Schlüsselrichtlinie hinzufügen, achten Sie darauf, sie durch den Amazon-Ressourcennamen (ARN) der IAM-Rolle zu ** ersetzen, die für die Bereitstellung des AWS KMS Schlüssels, die Verwaltung des AWS KMS Schlüssels oder beides verwendet wurde. Dies kann die IAM-Rolle Ihrer Bereitstellungs-Pipeline oder die [Administratorrolle für Ihre Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html) in Ihren [AWS -Organisationen](https://aws.amazon.com/organizations/) sein.
```
{
"Sid": "AllowKeyAdminPermissions",
"Effect": "Allow",
"Principal": {
"AWS": [
""
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
**Anmerkung**
In einer AWS KMS Schlüsselrichtlinie muss der Wert des `Resource` Elements sein`*`, was „dieser AWS KMS Schlüssel“ bedeutet. Das Sternchen (`*`) kennzeichnet den AWS KMS Schlüssel, dem die Schlüsselrichtlinie zugeordnet ist.
### Gewährt Lesezugriff auf die wichtigsten Metadaten
Um anderen IAM-Rollen schreibgeschützten Zugriff auf Ihre wichtigsten Metadaten zu gewähren, fügen Sie die `AllowReadAccessToKeyMetaData`-Anweisung zu Ihrer Schlüsselrichtlinie hinzu. Mit der folgenden Anweisung können Sie beispielsweise alle AWS KMS Schlüssel in Ihrem Konto zu Prüfungszwecken auflisten. Diese Anweisung gewährt dem AWS Root-Benutzer nur Lesezugriff auf die Schlüsselmetadaten. Daher kann jeder IAM-Prinzipal in dem Konto auf die Schlüsselmetadaten zugreifen, wenn seine identitätsbasierten Richtlinien über die in der folgenden Anweisung aufgeführten Berechtigungen verfügen: `kms:Describe*`, `kms:Get*` und `kms:List*`. Stellen Sie sicher, dass Sie es durch Ihre eigenen Informationen ** ersetzen.
```
{
"Sid": "AllowReadAcesssToKeyMetaData",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::root"
]
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
}
```
### Gewährt Amazon SNS KMS-Berechtigungen, um Nachrichten für die Warteschlange zu veröffentlichen
Damit Ihr Amazon-SNS-Thema Nachrichten in Ihrer verschlüsselten Amazon-SQS-Warteschlange veröffentlichen kann, fügen Sie die `AllowSNSToSendToSQS`-Richtlinienanweisung zu Ihrer Schlüsselrichtlinie hinzu. Diese Erklärung erteilt Amazon SNS die Erlaubnis, den AWS KMS Schlüssel zur Veröffentlichung in Ihrer Amazon SQS SQS-Warteschlange zu verwenden. Stellen Sie sicher, dass Sie es durch Ihre eigenen Informationen ** ersetzen.
**Anmerkung**
Die `Condition` in der Erklärung angegebene Einschränkung beschränkt den Zugriff nur auf den Amazon SNS SNS-Service auf demselben AWS Konto.
```
{
"Sid": "AllowSNSToSendToSQS",
"Effect": "Allow",
"Principal": {
"Service": [
"sns.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
}
}
}
```
### Konsumenten gestatten, Nachrichten aus der Warteschlange zu entschlüsseln
Die folgende `AllowConsumersToReceiveFromTheQueue`-Anweisung gewährt dem Amazon-SQS-Nachrichtenkonsumenten die erforderlichen Berechtigungen zum Entschlüsseln von Nachrichten, die aus der verschlüsselten Amazon-SQS-Warteschlange empfangen wurden. Wenn Sie die Richtlinienanweisung anhängen, ** ersetzen Sie sie durch den ARN der IAM-Laufzeitrolle des Nachrichtenkonsumenten.
```
{
"Sid": "AllowConsumersToReceiveFromTheQueue",
"Effect": "Allow",
"Principal": {
"AWS": [
""
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
```
### Richtlinie für Amazon SQS mit den geringsten Berechtigungen
Dieser Abschnitt führt Sie durch die Amazon-SQS-Warteschlangenrichtlinien mit den geringsten Berechtigungen für den in diesem Handbuch behandelten Anwendungsfall (z. B. Amazon SNS zu Amazon SQS). Die definierte Richtlinie soll unbeabsichtigten Zugriff verhindern, indem eine Kombination aus den beiden Anweisungen `Deny` und `Allow` verwendet wird. Die `Allow`-Anweisungen gewähren Zugriff auf die intendierte(n) Entität(en). Die `Deny`-Anweisungen verhindern, dass andere unbeabsichtigte Entitäten auf die Amazon-SQS-Warteschlange zugreifen, während die beabsichtigte Entität innerhalb der Richtlinienbedingung ausgeschlossen wird.
Die Amazon-SQS-Richtlinie umfasst die folgenden Anweisungen, die wir im Folgenden ausführlich beschreiben:
+ [Beschränken der Amazon-SQS-Verwaltungsberechtigungen](#sqs-use-case-restrict-permissions)
+ [Beschränken der Amazon-SQS-Warteschlangenaktionen der angegebenen Organisation](#sqs-use-case-restrict-permissions-from-org)
+ [Erteilen von Amazon-SQS-Berechtigungen für Konsumenten](#sqs-use-grant-consumer-permissions)
+ [Erzwingen der Verschlüsselung von Daten während der Übertragung](#sqs-encryption-in-transit)
+ [Einschränkung der Nachrichtenübertragung auf ein bestimmtes Amazon-SNS-Thema](#sqs-restrict-transmission-to-topic)
+ [(Optional) Einschränken des Nachrichtenempfangs auf einen bestimmten VPC-Endpunkt](#sqs-restrict-message-to-endpoint)
### Beschränken der Amazon-SQS-Verwaltungsberechtigungen
Die folgende `RestrictAdminQueueActions`-Richtlinienanweisung beschränkt die Amazon-SQS-Verwaltungsberechtigungen nur auf die IAM-Rolle(n), die Sie für die Bereitstellung der Warteschlange, die Verwaltung der Warteschlange oder für beide verwenden. Ersetzen Sie ** durch Ihre eigenen Informationen. Geben Sie den ARN der IAM-Rolle an, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde, sowie den ARNs aller Administratorrollen, die über Amazon SQS SQS-Verwaltungsberechtigungen verfügen sollten.
```
{
"Sid": "RestrictAdminQueueActions",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"sqs:AddPermission",
"sqs:DeleteQueue",
"sqs:RemovePermission",
"sqs:SetQueueAttributes"
],
"Resource": "",
"Condition": {
"StringNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam:::role/",
""
]
}
}
}
```
### Beschränken der Amazon-SQS-Warteschlangenaktionen der angegebenen Organisation
Verwenden Sie die folgende Anweisungen, um Ihre Amazon-SQS-Ressourcen vor externem Zugriff (Zugriff durch eine Entität außerhalb Ihrer [AWS -Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)) zu schützen. Diese Anweisung beschränkt den Zugriff auf die Amazon-SQS-Warteschlange auf die Organisation, die Sie in der `Condition` angeben. Stellen Sie sicher, dass Sie es durch den ARN der IAM-Rolle ** ersetzen, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde**, und dann durch Ihre Organisations-ID.
```
{
"Sid": "DenyQueueActionsOutsideOrg",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"sqs:AddPermission",
"sqs:ChangeMessageVisibility",
"sqs:DeleteQueue",
"sqs:RemovePermission",
"sqs:SetQueueAttributes",
"sqs:ReceiveMessage"
],
"Resource": "",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": [
""
]
}
}
}
```
### Erteilen von Amazon-SQS-Berechtigungen für Konsumenten
Um Nachrichten aus der Amazon-SQS-Warteschlange zu empfangen, müssen Sie dem Nachrichtenverbraucher die erforderlichen Berechtigungen erteilen. Die folgende Richtlinienanweisung gewährt dem von Ihnen angegebenen Konsumenten die erforderlichen Berechtigungen, um Nachrichten aus der Amazon-SQS-Warteschlange zu konsumieren. Achten Sie beim Hinzufügen der Anweisung zu Ihrer Amazon SQS SQS-Richtlinie darauf, sie durch den ** ARN der vom Verbraucher verwendeten IAM-Laufzeitrolle und durch den ARN der IAM-Rolle zu ersetzen**, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde.
```
{
"Sid": "AllowConsumersToReceiveFromTheQueue",
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Action": [
"sqs:ChangeMessageVisibility",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:ReceiveMessage"
],
"Resource": ""
}
```
Um zu verhindern, dass andere Entitäten Nachrichten aus der Amazon-SQS-Warteschlange erhalten, fügen Sie die `DenyOtherConsumersFromReceiving`-Anweisung zu der Amazon-SQS-Warteschlangenrichtlinie hinzu. Diese Anweisung beschränkt den Nachrichtenverbrauch auf den von Ihnen angegebenen Konsumenten, so dass keine anderen Konsumenten Zugriff haben, selbst wenn ihnen ihre Identitätsberechtigungen Zugriff gewähren würden. Stellen Sie sicher, dass Sie ** und durch Ihre eigenen Informationen ** ersetzen.
```
{
"Sid": "DenyOtherConsumersFromReceiving",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"sqs:ChangeMessageVisibility",
"sqs:DeleteMessage",
"sqs:ReceiveMessage"
],
"Resource": "",
"Condition": {
"StringNotLike": {
"aws:PrincipalARN": ""
}
}
}
```
### Erzwingen der Verschlüsselung von Daten während der Übertragung
Die folgende `DenyUnsecureTransport`-Richtlinienanweisung verpflichtet die Konsumenten und Produzenten, sichere Kanäle (TLS-Verbindungen) zu verwenden, um Nachrichten aus der Amazon-SQS-Warteschlange zu senden und zu empfangen. Stellen Sie sicher, dass Sie es ** durch den ARN der IAM-Rolle ersetzen, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde.
```
{
"Sid": "DenyUnsecureTransport",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
```
### Einschränkung der Nachrichtenübertragung auf ein bestimmtes Amazon-SNS-Thema
Die folgende `AllowSNSToSendToTheQueue`-Richtlinienanweisung ermöglicht dem angegebenen Amazon-SNS-Thema, Nachrichten an die Amazon-SQS-Warteschlange zu senden. Stellen Sie sicher, dass Sie es durch den ARN der IAM-Rolle ** ersetzen, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde**, und durch das Amazon SNS SNS-Thema ARN.
```
{
"Sid": "AllowSNSToSendToTheQueue",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": "",
"Condition": {
"ArnLike": {
"aws:SourceArn": ""
}
}
}
```
Die folgende `DenyAllProducersExceptSNSFromSending`-Richtlinienanweisung verhindert, dass andere Produzenten Nachrichten an die Warteschlange senden. Ersetzen Sie ** und durch Ihre ** eigenen Informationen.
```
{
"Sid": "DenyAllProducersExceptSNSFromSending",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "sqs:SendMessage",
"Resource": "",
"Condition": {
"ArnNotLike": {
"aws:SourceArn": ""
}
}
}
```
### (Optional) Einschränken des Nachrichtenempfangs auf einen bestimmten VPC-Endpunkt
Um den Empfang von Nachrichten nur auf einen bestimmten [VPC-Endpunkt](https://aws.amazon.com/about-aws/whats-new/2018/12/amazon-sqs-vpc-endpoints-aws-privatelink/) zu beschränken, fügen Sie Ihrer Amazon-SQS-Warteschlangenrichtlinie die folgende Richtlinienanweisung hinzu. Diese Anweisung verhindert, dass ein Nachrichtenkonsument Nachrichten aus der Warteschlange empfängt, es sei denn, die Nachrichten stammen vom gewünschten VPC-Endpunkt. **Ersetzen Sie durch den ARN der IAM-Rolle, die für die Bereitstellung der Amazon SQS SQS-Warteschlange verwendet wurde, und ** durch die ID des VPC-Endpunkts.
```
{
"Sid": "DenyReceivingIfNotThroughVPCE",
"Effect": "Deny",
"Principal": "*",
"Action": [
"sqs:ReceiveMessage"
],
"Resource": "",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": ""
}
}
}
```
## Amazon-SQS-Richtlinienerklärungen für die Warteschlange für unzustellbare Nachrichten
Fügen Sie Ihrer DLQ-Zugriffsrichtlinie die folgenden Richtlinienerklärungen hinzu, die anhand ihrer Anweisungs-ID gekennzeichnet sind:
+ `RestrictAdminQueueActions`
+ `DenyQueueActionsOutsideOrg`
+ `AllowConsumersToReceiveFromTheQueue`
+ `DenyOtherConsumersFromReceiving`
+ `DenyUnsecureTransport`
Zusätzlich zum Hinzufügen der obigen Richtlinienanweisungen zu Ihrer DLQ-Zugriffsrichtlinie sollten Sie auch eine Anweisung hinzufügen, um die Nachrichtenübertragung an Amazon-SQS-Warteschlangen einzuschränken, wie im folgenden Abschnitt beschrieben.
### Einschränken der Nachrichtenübertragung auf Amazon-SQS-Warteschlangen
Um den Zugriff nur auf Amazon-SQS-Warteschlangen von demselben Konto aus zu beschränken, fügen Sie der DLQ-Warteschlangenrichtlinie die folgende `DenyAnyProducersExceptSQS`-Richtlinienanweisung hinzu. Diese Anweisung beschränkt die Nachrichtenübertragung nicht auf eine bestimmte Warteschlange, da Sie die DLQ bereitstellen müssen, bevor Sie die Hauptwarteschlange erstellen, so dass Sie den Amazon-SQS-ARN nicht kennen, wenn Sie die DLQ erstellen. Wenn Sie den Zugriff auf nur eine Amazon-SQS-Warteschlange beschränken möchten, ändern Sie den `aws:SourceArn` in der `Condition` zu dem ARN Ihrer Amazon-SQS-Quellwarteschlange, wenn Sie diesen kennen.
```
{
"Sid": "DenyAnyProducersExceptSQS",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "sqs:SendMessage",
"Resource": "",
"Condition": {
"ArnNotLike": {
"aws:SourceArn": "arn:aws:sqs:::*"
}
}
}
```
**Wichtig**
Die in diesem Handbuch definierten Amazon-SQS-Warteschlangenrichtlinien beschränken die `sqs:PurgeQueue`-Aktion nicht auf eine oder mehrere bestimmte IAM-Rolle(n). Die `sqs:PurgeQueue`-Aktion ermöglicht Ihnen, alle Nachrichten in der Amazon-SQS-Warteschlange zu löschen. Sie können diese Aktion auch verwenden, um Änderungen am Nachrichtenformat vorzunehmen, ohne die Amazon-SQS-Warteschlange zu ersetzen. Beim Debuggen einer Anwendung können Sie die Amazon-SQS-Warteschlange leeren, um potenziell fehlerhafte Nachrichten zu entfernen. Beim Testen der Anwendung können Sie ein hohes Nachrichtenvolumen durch die Amazon-SQS-Warteschlange leiten und dann die Warteschlange leeren, um neu zu beginnen, bevor Sie mit der Produktion beginnen. Der Grund dafür, dass diese Aktion nicht auf eine bestimmte Rolle beschränkt wird, liegt darin, dass diese Rolle bei der Bereitstellung der Amazon-SQS-Warteschlange möglicherweise nicht bekannt ist. Sie müssen diese Berechtigung zur identitätsbasierten Richtlinie der Rolle hinzufügen, um die Warteschlange löschen zu können.
## Vermeidung des serviceübergreifenden Confused-Deputy-Problems
Das [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. Um dies zu verhindern, AWS stellt Tools bereit, mit denen Sie Ihr Konto schützen können, wenn Sie Dritten (auch als kontoübergreifender Dienst bezeichnet) oder anderen AWS Diensten (bekannt als dienstübergreifender Zugriff) Zugriff auf Ressourcen in Ihrem Konto gewähren. Die Richtlinienanweisungen in diesem Abschnitt können Ihnen helfen, das serviceübergreifende Confused-Deputy-Problem zu vermeiden.
Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der Anruf-Service) einen anderen Service anruft (den aufgerufenen Service). Der Aufruf-Service kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um sich vor diesem Problem zu schützen, verwenden die in diesem Beitrag definierten ressourcenbasierten Richtlinien die globalen IAM-Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). Dadurch werden die Berechtigungen eines Dienstes auf eine bestimmte Ressource, ein bestimmtes Konto oder eine bestimmte Organisation in AWS Organizations beschränkt.
## Verwenden von IAM Access Analyzer, um den kontoübergreifenden Zugriff zu überprüfen
Sie können [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) verwenden, um Ihre Amazon SQS SQS-Warteschlangenrichtlinien und AWS KMS Schlüsselrichtlinien zu überprüfen und Sie zu benachrichtigen, wenn eine Amazon SQS SQS-Warteschlange oder ein AWS KMS Schlüssel Zugriff auf eine externe Entität gewährt. IAM Access Analyzer hilft bei der Identifizierung von [Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html) in Ihrer Organisation und Ihren Konten, die außerhalb Ihrer Vertrauenszone weitergegeben werden. Bei dieser Vertrauenszone kann es sich um ein AWS Konto oder die Organisation innerhalb von AWS Organizations handeln, die Sie bei der Aktivierung von IAM Access Analyzer angeben.
IAM Access Analyzer identifiziert Ressourcen, die mit externen Prinzipalen gemeinsam genutzt werden, indem er die ressourcenbasierten Richtlinien in Ihrer Umgebung anhand von logischer Argumentation analysiert. AWS Für jede Instance einer Ressource, die außerhalb Ihrer Zone gemeinsam genutzt wird, erstellt Access Analyzer eine Erkenntnis. Die [Ergebnisse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) enthalten Informationen über den Zugang und den externen Prinzipal, dem dieser gewährt wurde. Sie können die Ergebnisse prüfen, um festzustellen, ob der Zugriff beabsichtigt und sicher oder ob er unbeabsichtigt ist und ein Sicherheitsrisiko darstellt. Überprüfen Sie bei unbeabsichtigtem Zugriff die betroffene Richtlinie und korrigieren Sie diese. In diesem [Blogbeitrag](https://aws.amazon.com/blogs/aws/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/) finden Sie weitere Informationen darüber, wie AWS IAM Access Analyzer unbeabsichtigte Zugriffe auf Ihre Ressourcen erkennt. AWS
Weitere Informationen zu AWS IAM Access Analyzer finden Sie in der [AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) Access Analyzer-Dokumentation.
# Amazon-SQS-API-Berechtigungen: Referenz für Aktionen und Ressourcen
Wenn Sie [Zugriffskontrolle](security_iam_service-with-iam.md#access-control) einrichten und Berechtigungsrichtlinien erstellen, die Sie einer IAM-Identität anfügen können, verwenden Sie die folgende Tabelle als Referenz. Die Tabellenliste jede Amazon Simple Queue Service-Aktion, die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können.
Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an. Um eine Aktion anzugeben, verwenden Sie das Präfix `sqs:` gefolgt vom Namen der Aktion (z. B. `sqs:CreateQueue`).
Derzeit unterstützt Amazon SQS die [in IAM verfügbaren globalen Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**Amazon-Simple-Queue-Service-API und erforderliche Berechtigungen für Aktionen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-api-permissions-reference.html)