Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration von Amazon SQS SQS-Warteschlangen mit der Amazon SQS SQS-Konsole
Verwenden Sie die Amazon SQS SQS-Konsole, um Amazon SQS SQS-Warteschlangen und -Funktionen zu konfigurieren und zu verwalten. Sie können auch:
+ Aktivieren Sie die serverseitige Verschlüsselung für mehr Sicherheit.
+ Ordnen Sie der Bearbeitung unverarbeiteter Nachrichten eine Warteschlange für unzustellbare Nachrichten zu.
+ Richten Sie einen Trigger ein, um eine Lambda-Funktion für die ereignisgesteuerte Verarbeitung aufzurufen.
# Attributbasierte Zugriffskontrolle für Amazon SQS
## Was ist ABAC?
Die attributebasierte Zugriffskontrolle (ABAC) ist ein Autorisierungsprozess, bei dem Berechtigungen auf der Grundlage von Tags definiert werden, die Benutzern und Ressourcen zugewiesen sind. AWS ABAC bietet eine detaillierte und flexible Zugriffskontrolle auf der Grundlage von Attributen und Werten, reduziert das Sicherheitsrisiko im Zusammenhang mit neu konfigurierten rollenbasierten Richtlinien und zentralisiert die Prüfung und Verwaltung von Zugriffsrichtlinien. Weitere Details zu ABAC finden Sie unter [Was ist ABAC für AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.
Amazon SQS unterstützt ABAC, indem es Ihnen ermöglicht, den Zugriff auf Ihre Amazon-SQS-Warteschlangen anhand der Tags und Aliase zu kontrollieren, die mit einer Amazon-SQS-Warteschlange verknüpft sind. Die Tag- und Alias-Bedingungsschlüssel, die ABAC in Amazon SQS aktivieren, autorisieren IAM-Prinzipale, Amazon-SQS-Warteschlangen zu verwenden, ohne Richtlinien zu bearbeiten oder Erteilungen zu verwalten. Weitere Informationen zu ABAC-Bedingungsschlüsseln finden Sie unter [Bedingungsschlüssel für Amazon SQS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html#amazonsqs-policy-keys) in der *Service Authorization Reference*.
Mit ABAC können Sie Tags verwenden, um IAM-Zugriffsberechtigungen und Richtlinien für Ihre Amazon-SQS-Warteschlangen zu konfigurieren, was Ihnen hilft, Ihr Berechtigungsmanagement zu skalieren. Sie können in IAM eine einzige Berechtigungsrichtlinie erstellen, indem Sie Tags verwenden, die Sie jeder Geschäftsrolle hinzufügen – ohne die Richtlinie jedes Mal aktualisieren zu müssen, wenn Sie eine neue Ressource hinzufügen. Sie können IAM-Prinzipalen auch Tags zuordnen, um eine ABAC-Richtlinie zu erstellen. Sie können ABAC-Richtlinien entwerfen, um Amazon-SQS-Operationen zuzulassen, wenn das Tag in der IAM-Benutzerrolle, die den Aufruf tätigt, mit dem Amazon-SQS-Warteschlangen-Tag übereinstimmt. Weitere Informationen zum Tagging finden Sie unter AWS[AWS Tagging-Strategien](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) und. [Amazon-SQS-Kostenzuordnungs-Tags](sqs-queue-tags.md)
**Anmerkung**
ABAC für Amazon SQS ist derzeit in allen AWS Handelsregionen verfügbar, in denen Amazon SQS verfügbar ist, mit den folgenden Ausnahmen:
Asien-Pazifik (Hyderabad)
Asien-Pazifik (Melbourne)
Europa (Spain)
Europa (Zürich)
## Weshalb sollte ich ABAC in Amazon SQS verwenden?
Hier sind einige Vorteile der Verwendung von ABAC in Amazon SQS:
+ ABAC für Amazon SQS erfordert weniger Berechtigungsrichtlinien. Sie müssen keine verschiedenen Richtlinien für verschiedene Job-Funktionen erstellen müssen. Sie können Ressourcen- und Anforderungs-Tags verwenden, die für mehr als eine Warteschlange gelten, wodurch der Betriebsaufwand reduziert wird.
+ Verwenden Sie ABAC, um Teams schnell zu skalieren. Berechtigungen für neue Ressourcen werden automatisch basierend auf Tags erteilt, wenn Ressourcen bei ihrer Erstellung entsprechend gekennzeichnet werden.
+ Verwenden Sie Berechtigungen für den IAM-Prinzipal, um den Ressourcenzugriff einzuschränken. Sie können Tags für den IAM-Prinzipal erstellen und diese verwenden, um den Zugriff auf bestimmte Aktionen einzuschränken, die den Tags auf dem IAM-Prinzipal entsprechen. Auf diese Weise können Sie den Prozess der Erteilung von Anforderungsberechtigungen automatisieren.
+ Verfolgen Sie, wer auf Ihre Ressourcen zugreift. Sie können die Identität einer Sitzung anhand der Benutzerattribute unter AWS CloudTrail ermitteln.
**Topics**
+ [Was ist ABAC?](#sqs-abac-whatis)
+ [Weshalb sollte ich ABAC in Amazon SQS verwenden?](#sqs-abac-benefits)
+ [Markierungen für die Zugriffssteuerung](sqs-abac-tagging-resource-control.md)
+ [Erstellen von IAM-Benutzern und Amazon-SQS-Warteschlangen](sqs-abac-creating-queues.md)
+ [Testen der attributbasierten Zugriffssteuerung](sqs-abac-testing-access-control.md)
# Tagging für die Zugriffskontrolle in Amazon SQS
Im Folgenden finden Sie ein Beispiel für die Verwendung von Tags für die Zugriffskontrolle in Amazon SQS. Die IAM-Richtlinie beschränkt einen IAM-Benutzer auf alle Amazon-SQS-Aktionen für alle Warteschlangen, die ein Ressourcen-Tag mit der Schlüsselumgebung und der Wertproduktion enthalten. Weitere Informationen finden Sie unter [Attributbasierte Zugriffskontrolle mit Stichwörtern](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging_abac.html) und Organizations. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForProd",
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# Erstellen von IAM-Benutzern und Amazon-SQS-Warteschlangen
In den folgenden Beispielen wird erklärt, wie eine ABAC-Richtlinie zur Steuerung des Zugriffs auf Amazon SQS mithilfe von und erstellt wird. AWS-Managementkonsole CloudFormation
## Mit dem AWS-Managementkonsole
**Erstellen eines IAM-Benutzers**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Benutzer** aus.
1. Wählen Sie **Benutzer hinzufügen** und geben Sie einen Namen in das Textfeld **Benutzername** ein.
1. Wählen Sie das Feld **Zugriffsschlüssel – Programmatischer Zugriff** und **Weiter: Berechtigungen** aus.
1. Wählen Sie **Weiter: Tags** aus.
1. Fügen Sie den Tag-Schlüssel als `environment` und den Tag-Wert als `beta` hinzu.
1. Wählen Sie **Weiter:Prüfung** und dann **Benutzer erstellen** aus.
1. Speichern Sie Ihre Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Ort.
**IAM-Benutzerberechtigungen hinzufügen**
1. Wählen Sie den IAM-Benutzer aus, den Sie erstellt haben.
1. Wählen Sie **Inline-Richtlinie hinzufügen**.
1. Fügen Sie auf der Registerkarte JSON die folgende Richtlinie ein.
1. Wählen Sie **Richtlinie prüfen**.
1. Wählen Sie **Richtlinie erstellen** aus.
## Verwenden AWS CloudFormation
Verwenden Sie die folgende CloudFormation Beispielvorlage, um einen IAM-Benutzer mit einer angehängten Inline-Richtlinie und einer Amazon SQS SQS-Warteschlange zu erstellen:
```
AWSTemplateFormatVersion: "2010-09-09"
Description: "CloudFormation template to create IAM user with custom inline policy"
Resources:
IAMPolicy:
Type: "AWS::IAM::Policy"
Properties:
PolicyDocument: |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForSameResTag",
"Effect": "Allow",
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "AllowAccessForSameReqTag",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteQueue",
"sqs:SetQueueAttributes",
"sqs:tagqueue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "DenyAccessForProd",
"Effect": "Deny",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
Users:
- "testUser"
PolicyName: tagQueuePolicy
IAMUser:
Type: "AWS::IAM::User"
Properties:
Path: "/"
UserName: "testUser"
Tags:
-
Key: "environment"
Value: "beta"
```
# Testen der attributbasierten Zugriffskontrolle in Amazon SQS
Die folgenden Beispiele zeigen, wie Sie die attributbasierte Zugriffssteuerung in Amazon SQS testen können.
## Erstellen einer Warteschlange, bei der der Tag-Schlüssel auf „environment“ und der Tag-Wert auf „prod“ gesetzt ist
Führen Sie diesen AWS CLI-Befehl aus, um zu testen, wie die Warteschlange erstellt wird, wobei der Tag-Schlüssel auf environment und der Tag-Wert auf prod gesetzt ist. Wenn Sie nicht über AWS CLI verfügen, können Sie es [herunterladen und für Ihren Computer konfigurieren](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
```
aws sqs create-queue --queue-name prodQueue —region us-east-1 —tags "environment=prod"
```
Sie erhalten eine `AccessDenied`-Fehlermeldung vom Amazon-SQS-Endpunkt:
```
An error occurred (AccessDenied) when calling the CreateQueue operation: Access to the resource is denied.
```
Dies liegt daran, dass der Tag-Wert des IAM-Benutzers nicht mit dem im [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)-API-Aufruf übergebenen Tag übereinstimmt. Denken Sie daran, dass wir dem IAM-Benutzer ein Tag zugewiesen haben, bei dem der Schlüssel auf `environment` und der Wert auf `beta` gesetzt ist.
## Erstellen Sie eine Warteschlange, bei der der Tag-Schlüssel auf „Umgebung“ und der Tag-Wert auf „Beta“ gesetzt ist
Führen Sie diesen CLI-Befehl aus, um zu testen, wie eine Warteschlange erstellt wird, bei der der Tag-Schlüssel auf `environment` und der Tag-Wert auf `beta` gesetzt sind.
```
aws sqs create-queue --queue-name betaQueue —region us-east-1 —tags "environment=beta"
```
Sie erhalten eine Meldung, die die erfolgreiche Erstellung der Warteschlange bestätigt, ähnlich der folgenden.
```
{
"QueueUrl": "“
}
```
## Senden einer Mitteilung an eine Warteschlange
Führen Sie diesen CLI-Befehl aus, um das Senden einer Nachricht an eine Warteschlange zu testen.
```
aws sqs send-message --queue-url --message-body testMessage
```
Die Antwort zeigt eine erfolgreiche Nachrichtenzustellung an die Amazon-SQS-Warteschlange. Die IAM-Benutzerberechtigung ermöglicht Ihnen, eine Nachricht an eine Warteschlange zu senden, die über ein `beta`-Tag verfügt. Die Antwort beinhaltet `MD5OfMessageBody` und `MessageId` mit der Nachricht.
```
{
"MD5OfMessageBody": "",
"MessageId": ""
}
```
# Konfiguration von Warteschlangenparametern mit der Amazon SQS SQS-Konsole
Beim [Erstellen](creating-sqs-standard-queues.md#step-create-standard-queue) oder [Bearbeiten](sqs-configure-edit-queue.md) einer Warteschlange können Sie die folgenden Parameter konfigurieren:
+ **Sichtbarkeitszeitbeschränkung** – Der Zeitraum, für den eine Nachricht, die aus einer Warteschlange (von einem Verbraucher) empfangen wurde, für die anderen Nachrichtenkonsumenten nicht sichtbar ist. Weitere Informationen finden Sie unter [Sichtbarkeitszeitbeschränkung](sqs-visibility-timeout.md).
**Anmerkung**
Wenn Sie die Sichtbarkeitszeitbeschränkung mithilfe der Konsole konfigurieren, wird der Timeout-Wert für alle Nachrichten in der Warteschlange konfiguriert. Um das Timeout für einzelne oder mehrere Nachrichten zu konfigurieren, müssen Sie einen der AWS SDKs verwenden.
+ **Aufbewahrungszeitraum für Nachrichten** – Der Zeitraum, für den Amazon SQS Nachrichten aufbewahrt, die in der Warteschlange verbleiben. Standardmäßig werden Nachrichten in einer Warteschlange vier Tage lang beibehalten. Sie können eine Warteschlange so konfigurieren, dass sie Nachrichten bis zu 14 Tage aufbewahrt. Weitere Informationen finden Sie unter [Aufbewahrungszeitraum für Nachrichten](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html).
+ **Zustellungsverzögerung** – Der Zeitraum, um den Amazon SQS die Zustellung der Nachricht verzögert, die der Warteschlange hinzugefügt wird. Weitere Informationen finden Sie unter [Zustellungsverzögerung](sqs-delay-queues.md).
+ **Maximale Nachrichtengröße** – Die maximale Nachrichtengröße für diese Warteschlange. Weitere Informationen finden Sie unter [Maximale Nachrichtengröße](sqs-s3-messages.md).
+ **Wartezeit für den Empfang von Nachrichten** – Die maximale Zeit, die Amazon SQS darauf wartet, dass Nachrichten verfügbar werden, nachdem die Warteschlange eine Empfangsanforderung erhalten hat. Weitere Informationen finden Sie unter [Kurz- und Langabfragen in Amazon SQS](sqs-short-and-long-polling.md).
+ **Inhaltsbasierte Deduplizierung aktivieren** — Amazon SQS kann automatisch eine Deduplizierung IDs basierend auf dem Nachrichtentext erstellen. Weitere Informationen finden Sie unter [Amazon-SQS-FIFO-Warteschlangen](sqs-fifo-queues.md).
+ **FIFO mit hohem Durchsatz aktivieren** – Wird verwendet, um einen hohen Durchsatz für Nachrichten in der Warteschlange zu aktivieren. Wenn Sie diese Option wählen, werden die zugehörigen Optionen ([Deduplizierungsbereich](enable-high-throughput-fifo.md) und [FIFO-Durchsatz-Limit](enable-high-throughput-fifo.md)) auf die erforderlichen Einstellungen geändert, um einen hohen Durchsatz für FIFO-Warteschlangen zu aktivieren. Weitere Informationen erhalten Sie unter [Hoher Durchsatz für FIFO-Warteschlangen in Amazon SQS](high-throughput-fifo.md) und [Amazon SQS SQS-Nachrichtenkontingente](quotas-messages.md).
+ **Redrive-Richtlinie**: definiert, welche Quellwarteschlangen diese Warteschlange als Warteschlange für unzustellbare Nachrichten verwenden können. Weitere Informationen finden Sie unter [Verwenden von Warteschlangen für unzustellbare Briefe in Amazon SQS](sqs-dead-letter-queues.md).
**So konfigurieren Sie Warteschlangenparameter für eine vorhandene Warteschlange (Konsole)**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus. Wählen Sie eine Warteschlange aus und klicken Sie auf **Bearbeiten**.
1. Scrollen Sie zum Abschnitt **Konfiguration**.
1. Geben Sie für **Sichtbarkeitszeitbeschränkung** die Dauer und die Einheiten ein. Der Bereich liegt zwischen 0 Sekunden und 12 Stunden. Der Standardwert ist 30 Sekunden.
1. Geben Sie unter **Aufbewahrungszeitraum für Nachrichten** die Dauer und die Einheiten ein. Der gültige Bereich beträgt 1 Minute bis 14 Tage. Der Standardwert ist 4 Tage.
1. Geben Sie für eine Standard-Warteschlange einen Wert für die **Wartezeit für den Empfang von Nachrichten** ein. Der Bereich liegt zwischen 0 und 20 Sekunden. Der Standardwert ist 0 Sekunden, der [kurze Abfragen](sqs-short-and-long-polling.md) festlegt. Jeder Wert ungleich Null führt zu einer langen Abfrage.
1. Geben Sie für **Zustellungsverzögerung** die Dauer und die Einheiten ein. Der Bereich liegt zwischen 0 Sekunden und 15 Minuten. Der Standardwert ist 0 Sekunden.
1. Geben Sie für **Maximale Nachrichtengröße** einen Wert ein. Der Bereich reicht von 1 KiB bis 1024 KiB. Der Standardwert ist 1024 KiB.
1. Wählen Sie für eine FIFO-Warteschlange **Aktivieren der inhaltsbasierten Deduplizierung**, um die inhaltsbasierte Deduplizierung zu aktivieren. Sie Standardeinstellung ist deaktiviert.
1. (Optional) Damit eine FIFO-Warteschlange einen höheren Durchsatz für das Senden und Empfangen von Nachrichten in der Warteschlange ermöglicht, wählen Sie **FIFO mit hohem Durchsatz aktivieren**.
Wenn Sie diese Option wählen, werden die zugehörigen Optionen (**Deduplizierungsbereich** und **FIFO-Durchsatz-Limit**) auf die erforderlichen Einstellungen geändert, um einen hohen Durchsatz für FIFO-Warteschlangen zu aktivieren. Wenn Sie Einstellungen ändern, die für die Verwendung von FIFO mit hohem Durchsatz erforderlich sind, ist der normale Durchsatz für die Warteschlange wirksam und die Deduplizierung erfolgt wie angegeben. Weitere Informationen erhalten Sie unter [Hoher Durchsatz für FIFO-Warteschlangen in Amazon SQS](high-throughput-fifo.md) und [Amazon SQS SQS-Nachrichtenkontingente](quotas-messages.md).
1. Wählen Sie für die **Redrive-Zulassungsrichtlinie** die Option **Aktiviert** aus. Wählen Sie eine der folgenden Optionen aus: **Alle zulassen** (Standard), **Nach Warteschlange** oder **Alle verweigern**. Wenn Sie **Nach Warteschlange** wählen, geben Sie eine Liste mit bis zu 10 Quellwarteschlangen nach dem Amazon-Ressourcennamen (ARN) an.
1. Wenn Sie mit der Konfiguration der Warteschlangenparameter fertig sind, wählen Sie **Speichern**.
# Konfiguration einer Zugriffsrichtlinie in Amazon SQS
Wenn Sie eine Warteschlange [bearbeiten](sqs-configure-edit-queue.md), können Sie deren Zugriffsrichtlinie so konfigurieren, dass gesteuert wird, wer mit der Warteschlange interagieren kann.
+ Die Zugriffsrichtlinie definiert, welche Konten, Benutzer und Rollen berechtigt sind, auf die Warteschlange zuzugreifen.
+ Sie gibt die zulässigen Aktionen an, z. B. [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html), oder [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html).
+ Standardmäßig ist nur der Besitzer der Warteschlange berechtigt, Nachrichten zu senden und zu empfangen.
****Um die Zugriffsrichtlinie für eine bestehende Warteschlange (Konsole) zu konfigurieren****
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie eine Warteschlange aus und klicken Sie auf **Bearbeiten**.
1. Scrollen Sie zum Abschnitt **Zugriffsrichtlinie**.
1. Bearbeiten Sie die **Anweisungen zur Zugriffsrichtlinie** im Eingabefeld. Weitere Informationen zu den Anweisungen zur Zugriffsrichtlinie finden Sie unter [Identity and Access Management in Amazon SQS](security-iam.md).
1. Wenn Sie mit der Konfiguration der Zugriffsrichtlinie fertig sind, wählen Sie **Speichern**.
# Konfiguration der serverseitigen Verschlüsselung für eine Warteschlange mithilfe von SQS-verwalteten Verschlüsselungsschlüsseln
Zusätzlich zur [Standardoption](creating-sqs-standard-queues.md#step-create-standard-queue) für verwaltete serverseitige Verschlüsselung (SSE) von Amazon SQS können Sie mit Amazon SQS Managed SSE (SSE-SQS) eine benutzerdefinierte verwaltete serverseitige Verschlüsselung erstellen, die von SQS verwaltete Verschlüsselungsschlüssel verwendet, um sensible Daten zu schützen, die über Nachrichtenwarteschlangen gesendet werden. Mit SSE-SQS müssen Sie keine Verschlüsselungsschlüssel erstellen und verwalten oder Ihren Code ändern, um Ihre Daten zu verschlüsseln. SSE-SQS ermöglicht Ihnen die sichere Übertragung von Daten und hilft Ihnen dabei, strenge Verschlüsselungsvorschriften und gesetzliche Anforderungen ohne zusätzliche Kosten zu erfüllen.
SSE-SQS schützt Daten im Ruhezustand mit 256-Bit Advanced Encryption Standard (AES-256). SSE verschlüsselt Nachrichten, sobald sie bei Amazon SQS eingehen. Amazon SQS speichert Nachrichten in verschlüsselter Form und entschlüsselt sie nur, wenn sie an einen autorisierten Verbraucher gesendet werden.
**Anmerkung**
Die SSE-Standardoption ist nur wirksam, wenn Sie eine Warteschlange ohne Angabe von Verschlüsselungsattributen erstellen.
Mit Amazon SQS können Sie die gesamte Warteschlangenverschlüsselung ausschalten. Wenn Sie KMS-SSE ausschalten, wird SQS-SSE daher nicht automatisch aktiviert. Wenn Sie SQS-SSE nach dem Ausschalten von KMS-SSE aktivieren möchten, müssen Sie der Anfrage eine Attributänderung hinzufügen.
**So konfigurieren Sie die SSE-SQS-Verschlüsselung für eine Warteschlange (Konsole)**
**Anmerkung**
Jede neue Warteschlange, die mit dem HTTP-Endpunkt (ohne TLS) erstellt wurde, aktiviert standardmäßig keine SSE-SQS-Verschlüsselung. Es ist eine bewährte Sicherheitsmethode, Amazon-SQS-Warteschlangen mit HTTPS- oder [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)-Endpunkten zu erstellen.
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie eine Warteschlange und anschließend **Bearbeiten** aus.
1. Erweitern Sie **Verschlüsselung**.
1. Wählen Sie unter **Serverseitige Verschlüsselung** **Aktivieren** aus.
**Anmerkung**
Wenn SSE aktiviert ist, werden anonyme `SendMessage`- und `ReceiveMessage`-Anfragen an die verschlüsselte Warteschlange abgewiesen. Die bewährten Sicherheitsmethoden von Amazon SQS raten davon ab, anonyme Anfragen zu verwenden. Wenn Sie anonyme Anfragen an eine Amazon-SQS-Warteschlange senden möchten, stellen Sie sicher, dass SSE deaktiviert ist.
1. Wählen Sie **Amazon-SQS-Schlüssel (SSE-SQS)** aus. Für die Nutzung dieser Option fallen keine zusätzlichen Kosten an.
1. Wählen Sie **Speichern**.
# Konfiguration der serverseitigen Verschlüsselung für eine Warteschlange mithilfe der Amazon SQS SQS-Konsole
Um die Daten in den Nachrichten einer Warteschlange zu schützen, hat Amazon SQS die serverseitige Verschlüsselung (SSE) standardmäßig für alle neu erstellten Warteschlangen aktiviert. Amazon SQS ist in den Amazon Web Services Key Management Service (Amazon Web Services KMS) integriert, um [KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) für die serverseitige Verschlüsselung (SSE) zu verwalten. Für weitere Informationen zur Nutzung von SSE siehe [Verschlüsselung im Ruhezustand in Amazon SQS](sqs-server-side-encryption.md).
Für den KMS-Schlüssel, den Sie Ihrer Warteschlange zuweisen, muss eine Schlüsselrichtlinie gelten, die Berechtigungen für alle Prinzipale beinhaltet, die zur Nutzung der Warteschlange berechtigt sind. Informationen finden Sie unter [Schlüsselverwaltung](sqs-key-management.md).
Wenn Sie nicht der Besitzer des KMS-Schlüssels sind oder wenn Sie sich mit einem Konto anmelden, das über keine `kms:ListAliases`- und `kms:DescribeKey`-Berechtigungen verfügt, können Sie auf der Amazon-SQS-Konsole keine Informationen über den KMS aufrufen. Bitten Sie den Inhaber des KMS, Ihnen diese Berechtigungen zu erteilen. Weitere Informationen finden Sie unter [Schlüsselverwaltung](sqs-key-management.md).
Wenn Sie eine Warteschlange [erstellen](creating-sqs-standard-queues.md#step-create-standard-queue) oder [bearbeiten](sqs-configure-edit-queue.md), können Sie SSE-KMS konfigurieren.
**So konfigurieren Sie SSE-KMS für eine vorhandene Warteschlange (Konsole)**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie eine Warteschlange und anschließend **Bearbeiten** aus.
1. Erweitern Sie **Verschlüsselung**.
1. Wählen Sie unter **Serverseitige Verschlüsselung** **Aktivieren** aus.
**Anmerkung**
Wenn SSE aktiviert ist, werden anonyme `SendMessage`- und `ReceiveMessage`-Anfragen an die verschlüsselte Warteschlange abgewiesen. Die bewährten Sicherheitsmethoden von Amazon SQS raten davon ab, anonyme Anfragen zu verwenden. Wenn Sie anonyme Anfragen an eine Amazon-SQS-Warteschlange senden möchten, stellen Sie sicher, dass SSE deaktiviert ist.
1. Wählen Sie **AWS Key Management Service-Schlüssel (SSE-KMS) aus**.
In der Konsole werden die **Beschreibung**, das **Konto** und der **KMS-Schlüssel-ARN** des KMS-Schlüssels angezeigt.
1. Geben Sie die KMS-Schlüssel-ID für die Warteschlange an. Weitere Informationen finden Sie unter [Wichtige Begriffe](sqs-server-side-encryption.md#sqs-sse-key-terms).
1. Wählen Sie die Option **KMS-Schlüsselalias auswählen**.
1. Der Standardschlüssel ist der von Amazon Web Services verwaltete KMS-Schlüssel für Amazon SQS. Um diesen Schlüssel zu verwenden, wählen Sie ihn aus der **KMS-Schlüsselliste** aus.
1. Um einen benutzerdefinierten KMS-Schlüssel aus Ihrem Amazon-Web-Services-Konto zu verwenden, wählen Sie ihn aus der **KMS-Schlüsselliste** aus. Anweisungen zum Erstellen benutzerdefinierter KMS-Schlüssel finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *Amazon-Web-Services-Key-Management-Service-Entwicklerhandbuch*.
1. Um einen benutzerdefinierten KMS-Schlüssel, der nicht in der Liste enthalten ist, oder einen benutzerdefinierten KMS-Schlüssel von einem anderen Amazon-Web-Services-Konto zu verwenden, wählen Sie **KMS-Schlüsselalias eingeben** aus und geben Sie den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels ein.
1. (Optional) Geben Sie für den **Zeitraum der Wiederverwendung von Datenschlüsseln** einen Wert zwischen 1 Minute und 24 Stunden an. Der Standardwert ist 5 Minuten. Weitere Informationen finden Sie unter [Grundlegendes zum Wiederverwendungszeitraum für den Datenschlüssel](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
1. Wenn Sie mit der Konfiguration von SSE-KMS fertig sind, wählen Sie **Speichern**.
# Konfiguration von Kostenzuweisungs-Tags für eine Warteschlange mithilfe der Amazon SQS SQS-Konsole
Um Ihre Amazon SQS SQS-Warteschlangen zu organisieren und zu identifizieren, können Sie Kostenzuweisungs-Tags hinzufügen. Weitere Informationen finden Sie unter [Amazon-SQS-Kostenzuordnungs-Tags](sqs-queue-tags.md).
+ Auf der Registerkarte Tagging auf der Detailseite werden die Tags der Warteschlange angezeigt.
+ Sie können Tags hinzufügen oder ändern, wenn Sie eine Warteschlange [erstellen](creating-sqs-standard-queues.md#step-create-standard-queue) oder [bearbeiten](sqs-configure-edit-queue.md).
**So konfigurieren Sie Tags für eine vorhandene Warteschlange (Konsole)**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie eine Warteschlange aus und klicken Sie auf **Bearbeiten**.
1. Scrollen Sie zum Abschnitt **Tags**.
1. Fügen Sie die Warteschlangen-Tags hinzu, ändern oder entfernen Sie sie:
1. Um einen Tag hinzuzufügen, wählen Sie **Neuen Tag hinzufügen**, geben Sie einen **Schlüssel** und einen **Wert** ein und wählen Sie dann **Änderungen anwenden**.
1. Um einen Tag zu aktualisieren, ändern Sie dessen **Schlüssel** und **Wert**.
1. Wählen Sie zum Entfernen eines Tags neben einem Schlüssel-Wert-Paar **Tag entfernen** aus.
1. Wenn Sie mit der Konfiguration der Tags fertig sind, wählen Sie **Speichern**.
# Abonnieren einer Warteschlange für ein Amazon SNS SNS-Thema mithilfe der Amazon SQS SQS-Konsole
Sie können eine oder mehrere Amazon SQS SQS-Warteschlangen für ein Amazon SNS SNS-Thema abonnieren. Wenn Sie eine Nachricht zu einem Thema veröffentlichen, sendet Amazon SNS die Nachricht an jede abonnierte Warteschlange. Amazon SQS verwaltet das Abonnement und kümmert sich um die erforderlichen Berechtigungen. Weitere Informationen finden Sie unter [Was ist Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) im *Entwicklerhandbuch für Amazon Simple Notification Service*.
Wenn Sie eine Amazon SQS-Warteschlange für ein Amazon SNS-Thema abonnieren, verwendet Amazon SNS HTTPS, um Nachrichten an Amazon SQS weiterzuleiten. Weitere Informationen zur Verwendung von Amazon SNS mit verschlüsselten Amazon-SQS-Warteschlangen finden Sie unter [Konfigurieren Sie KMS-Berechtigungen für Dienste AWS](sqs-key-management.md#compatibility-with-aws-services).
**Wichtig**
Amazon SQS unterstützt maximal 20 Anweisungen für jede Zugriffsrichtlinie. Das Abonnieren eines Amazon-SNS-Themas fügt eine solche Anweisung hinzu. Eine Überschreitung dieser Zahl führt dazu, dass das Abonnement für das Thema nicht zugestellt werden kann.
**Um eine Warteschlange für ein Amazon SNS SNS-Thema zu abonnieren (Konsole)**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie in der Liste der Warteschlangen die Warteschlange aus, für die das Amazon-SNS-Thema abonniert werden soll.
1. Wählen Sie im Menü **Actions** (Aktionen) die Option **Subscribe to Amazon SNS topic** (Amazon-SNS-Thema abonnieren) aus.
1. Wählen **Sie im Menü Geben Sie ein Amazon SNS SNS-Thema an, das für diese Warteschlange verfügbar** ist, das Amazon SNS SNS-Thema für Ihre Warteschlange aus.
Wenn das SNS-Thema nicht aufgeführt ist, wählen Sie **Enter Amazon SNS topic ARN** und geben Sie dann den Amazon-Ressourcennamen (ARN) des Themas ein.
1. Wählen Sie **Speichern**.
1. Um das Abonnement zu verifizieren, veröffentlichen Sie eine Nachricht zum Thema und sehen Sie sich die Nachricht in der Warteschlange an. Weitere Informationen finden Sie unter [Veröffentlichen von Amazon-SNS-Nachrichten](https://docs.aws.amazon.com/sns/latest/dg/sns-publishing.html) im *Amazon-Simple-Notification-Service-Entwicklerhandbuch*.
## Kontoübergreifende Abonnements
Wenn sich Ihre Amazon SQS SQS-Warteschlange und Ihr Amazon SNS SNS-Thema unterscheiden AWS-Konten, sind zusätzliche Berechtigungen erforderlich.
**Eigentümer des Themas (Konto A)**
Ändern Sie die Zugriffsrichtlinie des Amazon SNS SNS-Themas, sodass die Amazon SQS SQS-Warteschlangen AWS-Konto abonnieren können. Beispiel für eine Richtlinienerklärung:
```
{
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:root" },
"Action": "sns:Subscribe",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyTopic"
}
```
Diese Richtlinie ermöglicht `111122223333` das Abonnieren eines Kontos`MyTopic`.
**Besitzer der Warteschlange (Konto B)**
Ändern Sie die Zugriffsrichtlinie der Amazon SQS SQS-Warteschlange, sodass das Amazon SNS SNS-Thema Nachrichten senden kann. Beispiel für eine Richtlinienerklärung:
```
{
"Effect": "Allow",
"Principal": { "Service": "sns.amazonaws.com" },
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-1:111122223333:MyQueue",
"Condition": {
"ArnEquals": { "aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:MyTopic" }
}
}
```
Diese Richtlinie ermöglicht `MyTopic` das Senden von Nachrichten an`MyQueue`.
## Regionsübergreifende Abonnements
Um ein Amazon SNS SNS-Thema in einem anderen Format zu abonnieren AWS-Region, stellen Sie sicher, dass:
+ Die Zugriffsrichtlinie des Amazon SNS SNS-Themas ermöglicht regionsübergreifende Abonnements.
+ Die Zugriffsrichtlinie der Amazon SQS SQS-Warteschlange ermöglicht es dem Amazon SNS SNS-Thema, Nachrichten zwischen Regionen zu senden.
Weitere Informationen finden Sie unter [Senden von Amazon SNS SNS-Nachrichten an eine Amazon SQS SQS-Warteschlange oder AWS Lambda Funktion in einer anderen Region](https://docs.aws.amazon.com/sns/latest/dg/sns-cross-region-delivery.html) im *Amazon Simple Notification Service Developer Guide*.
# Konfiguration einer Amazon SQS SQS-Warteschlange zum Auslösen einer Funktion AWS Lambda
Sie können eine Lambda-Funktion verwenden, um Nachrichten aus einer Amazon SQS SQS-Warteschlange zu verarbeiten. Lambda fragt die Warteschlange ab und ruft Ihre Funktion synchron auf, wobei ein Stapel von Nachrichten als Ereignis übergeben wird.
**Timeout für Sichtbarkeit konfigurieren**
Stellen Sie das Sichtbarkeits-Timeout der Warteschlange auf mindestens das Sechsfache des [Funktions-Timeouts](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-common-summary) ein. Dadurch wird sichergestellt, dass Lambda genügend Zeit hat, um es erneut zu versuchen, falls eine Funktion während der Verarbeitung eines vorherigen Batches gedrosselt wird.
**Verwenden einer Warteschlange mit unerlaubten Briefen (DLQ)**
Geben Sie eine Warteschlange für unzustellbare Briefe an, um Nachrichten zu erfassen, die von der Lambda-Funktion nicht verarbeitet werden können.
**Umgang mit mehreren Warteschlangen und Funktionen**
Eine Lambda-Funktion kann mehrere Warteschlangen verarbeiten, indem sie für jede Warteschlange eine separate Ereignisquelle erstellt. Sie können derselben Warteschlange auch mehrere Lambda-Funktionen zuordnen.
**Berechtigungen für verschlüsselte Warteschlangen**
Wenn Sie eine verschlüsselte Warteschlange mit einer Lambda-Funktion verknüpfen, Lambda aber keine Nachrichten abfragt, fügen Sie die `kms:Decrypt`-Berechtigung zu Ihrer Lambda-Ausführungsrolle hinzu.
**Einschränkungen**
Die Warteschlange und die Lambda-Funktion müssen identisch AWS-Region sein.
Eine [verschlüsselte Warteschlange](sqs-server-side-encryption.md), die den Standardschlüssel (AWS verwalteter KMS-Schlüssel für Amazon SQS) verwendet, kann keine Lambda-Funktion in einer anderen aufrufen. AWS-Konto
Einzelheiten zur Implementierung finden Sie unter [Using AWS Lambda with Amazon SQS](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html) im *AWS Lambda Developer Guide*.
## Voraussetzungen
Um Lambda-Funktions-Auslöser zu konfigurieren, müssen Sie die folgenden Anforderungen erfüllen:
+ Wenn Sie einen Benutzer verwenden, muss Ihre Amazon-SQS-Rolle die folgenden Berechtigungen einschließen:
+ `lambda:CreateEventSourceMapping`
+ `lambda:ListEventSourceMappings`
+ `lambda:ListFunctions`
+ Die Lambda-Ausführungsrolle muss die folgenden Berechtigungen enthalten:
+ `sqs:DeleteMessage`
+ `sqs:GetQueueAttributes`
+ `sqs:ReceiveMessage`
+ Wenn Sie eine verschlüsselte Warteschlange mit einer Lambda-Funktion verknüpfen, fügen Sie die `kms:Decrypt`-Berechtigung zur Lambda-Ausführungsrolle hinzu.
Weitere Informationen finden Sie unter [Übersicht über die Zugriffsverwaltung in Amazon SQS](sqs-overview-of-managing-access.md).
**So konfigurieren Sie eine Warteschlange, um eine Lambda-Funktion auszulösen (Konsole)**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie auf der Seite **Warteschlange** die zu konfigurierende Warteschlange aus.
1. Wählen Sie auf der Seite der Warteschlange die Registerkarte **Lambda-Auslöser** aus.
1. Wählen Sie auf der Seite **Lambda-Auslöser** einen Lambda-Auslöser aus.
Wenn die Liste den benötigten Lambda-Auslöser nicht enthält, wählen Sie **Lambda-Funktions-Auslöser konfigurieren**. Geben Sie den Amazon-Ressourcennamen (ARN) der Lambda-Funktion ein oder wählen Sie eine vorhandene Ressource aus. Wählen Sie dann **Speichern**.
1. Wählen Sie **Speichern**. In der Konsole wird Konfiguration gespeichert und die Seite **Details** für die Warteschlange angezeigt.
Auf der Seite **Details** werden auf der Registerkarte **Lambda-Auslöser** die Lambda-Funktion und ihr Status angezeigt. Es dauert etwa 1 Minute, bis die Lambda-Funktion der Warteschlange zugeordnet wird.
1. Zum Überprüfen der Ergebnisse der Konfiguration können Sie [eine Nachricht an Ihre Warteschlange senden](creating-sqs-standard-queues.md#sqs-send-messages) und dann die ausgelöste Lambda-Funktion in der Lambda-Konsole anzeigen.
# Automatisieren von Benachrichtigungen von AWS Services an Amazon SQS mithilfe von Amazon EventBridge
EventBridge Mit Amazon können Sie Ereignisse wie Anwendungsprobleme oder Ressourcenänderungen nahezu in Echtzeit automatisieren AWS-Services und darauf reagieren.
+ Sie können Regeln erstellen, um bestimmte Ereignisse zu filtern und automatisierte Aktionen zu definieren, wenn eine Regel einem Ereignis entspricht.
+ EventBridge unterstützt mehrere Ziele, einschließlich Amazon SQS SQS-Standard- und FIFO-Warteschlangen, die Ereignisse im JSON-Format empfangen.
Weitere Informationen finden Sie unter [ EventBridge Amazon-Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) im *[ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Senden einer Nachricht mit Attributen mithilfe von Amazon SQS
Für Standard- und FIFO-Warteschlangen können Sie strukturierte Metadaten zu Nachrichten hinzufügen, darunter Zeitstempel, Geodaten, Signaturen und Kennungen. Weitere Informationen finden Sie unter [Amazon-SQS-Nachrichtenattribute](sqs-message-metadata.md#sqs-message-attributes).
**Um mit der Amazon SQS SQS-Konsole eine Nachricht mit Attributen an eine Warteschlange zu senden**
1. Öffnen Sie die Amazon SQS SQS-Konsole unter [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/).
1. Wählen Sie im Navigationsbereich **Queues** (Warteschlangen) aus.
1. Wählen Sie auf der Seite **Warteschlangen** eine Warteschlange aus.
1. Wählen Sie **Nachrichten senden und empfangen**.
1. Geben Sie die Nachrichtenattributparameter ein.
1. Geben Sie im Textfeld „Name“ einen eindeutigen Namen mit bis zu 256 Zeichen ein.
1. Wählen Sie für den Attributtyp **Zeichenfolge**, **Zahl** oder **Binär**.
1. (Optional) Geben Sie einen benutzerdefinierten Datentyp ein. Sie könnten beispielsweise **byte**, **int** oder **float** als benutzerdefinierte Datentypen für **Zahl** hinzufügen.
1. Geben Sie den Wert des Nachrichtenattributs in das Textfeld ein.
![\[Die Amazon SQS SQS-Konsole zeigt den Abschnitt Nachrichtenattribute an.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes.png)
1. Klicken Sie auf **Attribut hinzufügen**, um ein weiteres Nachrichtenattribut hinzuzufügen.
![\[Die Amazon SQS SQS-Konsole zeigt die Schaltfläche Entfernen im Bereich Nachrichtenattribute an.\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes-custom-attribute.png)
1. Sie können die Attributwerte jederzeit ändern, bevor die Nachricht gesendet wird.
1. Um ein Attribut zu löschen, wählen Sie **Entfernen**. Um das erste Attribut zu löschen, schließen Sie **Nachrichtenattribute**.
1. Wenn Sie mit dem Hinzufügen von Attributen zur Nachricht fertig sind, wählen Sie **Nachricht senden**. Wenn Ihre Nachricht gesendet wurde, zeigt die Konsole eine Erfolgsmeldung an. Um Informationen zu den Nachrichtenattributen der gesendeten Nachricht anzuzeigen, wählen Sie **Details anzeigen**. Wählen Sie **Fertig**, um das Dialogfeld mit den **Nachrichtendetails** zu schließen.