Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Identity and Access Management en Amazon SQS
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) es un sistema Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y *autorizar* (tener permisos) para utilizar los recursos de Amazon SQS. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso de Amazon Simple Queue Service](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon Simple Queue Service con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Prácticas recomendadas sobre las políticas](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Información general sobre la administración del acceso en Amazon SQS
<a name="sqs-overview-of-managing-access"></a>

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (usuarios, grupos y roles) y algunos servicios (como Amazon SQS) también permiten asociar políticas de permisos a recursos.

**nota**  
Un *administrador de la cuenta* (o usuario administrador) es un usuario con privilegios administrativos. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

Cuando concede permisos, especifica qué usuarios obtienen los permisos, para qué recurso obtienen los permisos y qué acciones específicas desea permitir en el recurso.

## Recursos y operaciones de Amazon Simple Queue Service
<a name="sqs-resource-and-operations"></a>

En Amazon SQS, el único recurso es la *cola*. En las políticas se emplean nombres de recurso de Amazon (ARN) para identificar los recursos a los que se aplican las políticas. Los siguientes recursos tiene asociado un ARN único:


| Tipo de recurso | Formato de ARN | 
| --- | --- | 
| Cola | arn:aws:sqs:region:account\$1id:queue\$1name | 

A continuación, se muestran ejemplos del formato de ARN para las colas:
+ Un ARN de una cola denominada `my_queue` en la región EE.UU. Este (Ohio), que pertenece a AWS la cuenta 123456789012:

  ```
  arn:aws:sqs:us-east-2:123456789012:my_queue
  ```
+ Un ARN para una cola denominada `my_queue` en cada una de las diferentes regiones que Amazon SQS admite:

  ```
  arn:aws:sqs:*:123456789012:my_queue
  ```
+ Un ARN que utiliza `*` o `?` como carácter comodín para el nombre de la cola. En los siguientes ejemplos, el ARN coincide con todas las colas que tienen el prefijo `my_prefix_`:

  ```
  arn:aws:sqs:*:123456789012:my_prefix_*
  ```

Puede obtener el valor de ARN para una cola existente si llama a la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html). El valor del atributo `QueueArn` es el ARN de la cola. *Para obtener más información ARNs, consulte [IAM en la Guía del usuario de IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns).*

Amazon SQS proporciona un conjunto de acciones que funcionan con el recurso de cola. Para obtener más información, consulte [Permisos de la API de Amazon SQS: referencia de acciones y recursos](sqs-api-permissions-reference.md).

## Titularidad de los recursos
<a name="sqs-understanding-resource-ownership"></a>

 Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la Cuenta de AWS de la *entidad principal* (es decir, la cuenta raíz, un usuario o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:
+ Si utiliza las credenciales de su cuenta raíz Cuenta de AWS para crear una cola de Amazon SQS, será el propietario del recurso (en Amazon SQS, el recurso Cuenta de AWS es la cola de Amazon SQS).
+ Si crea un usuario en su cuenta Cuenta de AWS y le concede permisos para crear una cola, el usuario podrá crearla. Sin embargo, la propietaria del recurso de cola será su Cuenta de AWS (a la que pertenece el usuario).
+ Si crea un rol de IAM en su cuenta Cuenta de AWS con permisos para crear una cola de Amazon SQS, cualquier persona que pueda asumir el rol podrá crear una cola. Usted Cuenta de AWS (al que pertenece el rol) es propietario del recurso de cola. 

## Administración del acceso a los recursos
<a name="sqs-managing-access-to-resources"></a>

Una *política de permisos* describe los permisos concedidos a las cuentas. En la siguiente sección, se explican las opciones disponibles para crear políticas de permisos.

**nota**  
 En esta sección, se explica el uso de IAM en el contexto de Amazon SQS. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) (¿Qué es IAM?) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*. 

Las políticas asociadas a una identidad de IAM se denominan políticas *basadas en identidad* (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas *basadas en recursos*.

### Políticas basadas en identidades
<a name="sqs-identity-based-features-of-sqs-policies"></a>

Hay dos formas de proporcionar a los usuarios permisos para las colas de Amazon SQS: mediante el sistema de políticas de Amazon SQS y mediante el sistema de políticas de IAM. Puede utilizar cualquiera de estos sistemas, o ambos, para asociar políticas a usuarios o roles. En la mayoría de los casos, puede conseguir el mismo resultado mediante cualquiera de estos dos sistemas. Por ejemplo, puede hacer lo siguiente:
+ **Adjuntar una política de permisos a un usuario o un grupo de su cuenta**: para conceder a un usuario permisos para crear una cola de Amazon SQS, adjunte una política de permisos a un usuario o a un grupo al que este pertenezca.
+ **Adjuntar una política de permisos a un usuario de otro Cuenta de AWS**: puede adjuntar una política de permisos a un usuario de otro Cuenta de AWS para que pueda interactuar con una cola de Amazon SQS. Sin embargo, los permisos entre cuentas no se aplican a las siguientes acciones:

  Los permisos entre cuentas no se aplican a las siguientes acciones:
  + `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
  + `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
  + `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
  + `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
  + `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
  + `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
  + `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
  + `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
  + `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
  + `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
  + `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
  + `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`

  Para conceder acceso a estas acciones, el usuario debe pertenecer a la misma Cuenta de AWS que es propietaria de la cola de Amazon SQS.
+ **Asociar una política de permisos a un rol (conceder permisos entre cuentas)**: para conceder permisos entre cuentas a una cola de SQS, debe combinar políticas de IAM y basadas en recursos:

  1. En la **cuenta A** (propietaria de la cola):
     + Asocie una **política basada en recursos** a la cola de SQS. Esta política debe conceder de forma explícita los permisos necesarios (por ejemplo, [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html) y [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html)) a la entidad principal de la **cuenta B** (por ejemplo, un rol de IAM).

  1. En la **cuenta A**, cree un rol de IAM:
     + Una **política de confianza** que permita que la **cuenta B** o un Servicio de AWS asuma el rol.
**nota**  
Si desea que un Servicio de AWS (como Lambda oEventBridge) asuma la función, especifique el principal del servicio (por ejemplo,lambda.amazonaws.com) en la política de confianza.
     + Una **política basada en identidad** que concede los permisos del rol asumido para interactuar con la cola.

  1. En la **cuenta B**, conceda permiso para asumir el rol en la **cuenta A**.

Debe configurar la política de acceso de la cola para permitir la entidad principal entre cuentas. Las políticas basadas en identidad de IAM por sí solas no son suficientes para el acceso entre cuentas a las colas de SQS.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Administración de accesos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*.

Aunque Amazon SQS funciona con las políticas de IAM tiene su propia infraestructura de políticas. Puede utilizar una política de Amazon SQS con una cola para especificar qué AWS cuentas tienen acceso a la cola. Puede especificar el tipo de acceso y las condiciones (por ejemplo, una condición que concede permisos para utilizar `SendMessage`, `ReceiveMessage` si la solicitud se realiza antes del 31 de diciembre de 2010). Las acciones específicas para las que puede conceder permisos son un subconjunto de la lista general de acciones de Amazon SQS. Cuando se escribe una política de Amazon SQS y se especifica `*` para “permitir todas las acciones de Amazon SQS”, significa que un usuario puede realizar todas las acciones de este subconjunto.

En el siguiente diagrama, se ilustra el concepto de una de estas políticas básicas de Amazon SQS, que abarca el subconjunto de acciones. La política es válida `queue_xyz` y otorga permisos a las AWS cuentas 1 y AWS 2 para usar cualquiera de las acciones permitidas con la cola especificada. 

**nota**  
El recurso de la política se especifica como`123456789012/queue_xyz`, donde `123456789012` está el ID de AWS cuenta de la cuenta propietaria de la cola.

![\[Una política de Amazon SQS que cubre el subconjunto de acciones\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/SQS_BasicPolicy.png)


Con la introducción de IAM y los conceptos de *usuarios* y *nombres de recursos de Amazon (ARNs)*, han cambiado algunas cosas en las políticas de SQS. En el diagrama y la tabla siguientes se describen estos cambios.

![\[Se han añadido nombres de recursos de Amazon e IAM a la política de Amazon SQS.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/SQS_PolicyWithNewFeatures.png)


![\[Number one in the diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png)Para obtener información sobre cómo conceder permisos a los usuarios de distintas cuentas, consulte el [tutorial: Delegar el acceso entre AWS cuentas mediante funciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) en la Guía del usuario de *IAM*.

![\[Number two in the diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png) El subconjunto de acciones incluidas en `*` se ha ampliado. Para obtener una lista de las acciones permitidas, consulte [Permisos de la API de Amazon SQS: referencia de acciones y recursos](sqs-api-permissions-reference.md).

![\[Number three in the diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Puede especificar el recurso mediante el nombre de recurso de Amazon (ARN), que es la forma estándar de especificar recursos en las políticas de IAM. Para obtener información acerca del formato de ARN para las colas de Amazon SQS, consulte [Recursos y operaciones de Amazon Simple Queue Service](#sqs-resource-and-operations).

Por ejemplo, de acuerdo con la política de Amazon SQS del diagrama anterior, cualquier persona que posea las credenciales de seguridad de la AWS cuenta 1 o la AWS cuenta 2 puede acceder. `queue_xyz` Además, los usuarios Bob y Susan de su propia cuenta de AWS (con el ID `123456789012`) pueden obtener acceso a la cola.

Antes de la introducción de IAM, Amazon SQS concedía automáticamente al creador de una cola control total sobre esa cola (es decir, acceso a todas las posibles acciones de Amazon SQS en dicha cola). Esto ha cambiado, a menos que el creador utilice credenciales de seguridad de AWS . Cualquier usuario que tenga permisos para crear una cola debe contar también con permisos para utilizar otras acciones de Amazon SQS para poder realizar alguna acción con las colas creadas.

A continuación, se muestra una política de ejemplo que permite a un usuario utilizar todas las acciones de Amazon SQS, pero solo con las colas cuyos nombres tengan como prefijo la cadena literal `bob_queue_`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:123456789012:bob_queue_*"
   }]
}
```

------

Para obtener más información, consulte [Uso de políticas con Amazon SQS](sqs-using-identity-based-policies.md) e [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.

## Especificación de elementos de política: acciones, efectos, recursos y entidades principales
<a name="sqs-specifying-policy-elements"></a>

Para cada [recurso de Amazon Simple Queue Service](#sqs-resource-and-operations), el servicio define un conjunto de [acciones](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_Operations.html). Para conceder permisos a estas acciones, Amazon SQS define un conjunto de acciones que se pueden especificar en una política.

**nota**  
Para realizar una acción de la , pueden ser necesarios permisos para más de una acción. Cuando se conceden permisos para acciones específicas, también debe identificar el recurso para el que las acciones se autorizan o deniegan.

A continuación se indican los elementos más básicos de la política:
+ **Recurso**: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.
+ **Acción**: utilice palabras de clave de acción para identificar las acciones de recursos que desea permitir o denegar. Por ejemplo, cuando se concede el permiso `sqs:CreateQueue`, el usuario puede realizar la acción `CreateQueue` de Amazon Simple Queue Service.
+ **Efecto**: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
+ **Entidad principal**: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). 

Para obtener más información sobre la sintaxis y descripciones de las políticas de Amazon SQS, consulte [Referencia de la política de AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.

Para ver una tabla con todas las acciones de Amazon Simple Queue Service y los recursos a los que se aplican, consulte [Permisos de la API de Amazon SQS: referencia de acciones y recursos](sqs-api-permissions-reference.md).

# Cómo funciona Amazon Simple Queue Service con IAM
<a name="security_iam_service-with-iam"></a>

Antes de utilizar IAM para administrar el acceso a Amazon SQS, obtenga información sobre qué características de IAM se encuentran disponibles con Amazon SQS.






**Características de IAM que puede utilizar con Amazon Simple Queue Service**  

| Característica de IAM | Compatibilidad con Amazon SQS | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |  Sí  | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sí  | 
|  [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   Sí  | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   No   | 

*Para obtener una visión general de cómo funcionan Amazon SQS y otros AWS servicios con la mayoría de las funciones de IAM, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

## Control de acceso
<a name="access-control"></a>

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.

**nota**  
Es importante entender que todos Cuentas de AWS pueden delegar sus permisos a los usuarios de sus cuentas. El acceso multicuenta te permite compartir el acceso a tus AWS recursos sin tener que gestionar usuarios adicionales. Para obtener información sobre el uso del acceso entre cuentas, consulte [Habilitación del acceso entre cuentas](https://docs.aws.amazon.com/IAM/latest/UserGuide/Delegation.html) en la *Guía del usuario de IAM*.   
Consulte [Limitaciones de las políticas personalizadas de Amazon SQS](sqs-limitations-of-custom-policies.md) para obtener más detalles sobre los permisos de contenido cruzado y las claves de condición en las políticas personalizadas de Amazon SQS. 

## Políticas basadas en identidad para Amazon SQS
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

### Ejemplos de políticas basadas en identidad para Amazon SQS
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para ver ejemplos de políticas basadas en identidad de Amazon SQS, consulte [Prácticas recomendadas sobre las políticas](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).

## Políticas basadas en recursos de Amazon SQS
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidad con las políticas basadas en recursos:** sí

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Acciones de políticas para Amazon SQS
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.



Para ver una lista de las acciones de Amazon SQS, consulte [Recursos definidos por Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*.

Las acciones de políticas de Amazon SQS utilizan el siguiente prefijo antes de la acción:

```
sqs
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "sqs:action1",
      "sqs:action2"
         ]
```





Para ver ejemplos de políticas basadas en identidad de Amazon SQS, consulte [Prácticas recomendadas sobre las políticas](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).

## Recursos de políticas para Amazon SQS
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver una lista de los tipos de recursos de Amazon SQS y sus tipos ARNs, consulte [Acciones definidas por Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-actions-as-permissions) en la Referencia de autorización de *servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Recursos definidos por Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies).





Para ver ejemplos de políticas basadas en identidad de Amazon SQS, consulte [Prácticas recomendadas sobre las políticas](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).

## Claves de condición de políticas para Amazon SQS
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Para obtener una lista de las claves de condición de Amazon SQS, consulte [Claves de condición para Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Recursos definidos por Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html#amazonsqs-resources-for-iam-policies).

Para ver ejemplos de políticas basadas en identidad de Amazon SQS, consulte [Prácticas recomendadas sobre las políticas](sqs-basic-examples-of-iam-policies.md#security_iam_id-based-policy-examples).

## ACLs en Amazon SQS
<a name="security_iam_service-with-iam-acls"></a>

**Soporta ACLs: No** 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con Amazon SQS
<a name="security_iam_service-with-iam-tags"></a>

**Compatibilidad con ABAC (etiquetas en las políticas):** parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Uso de credenciales temporales con Amazon SQS
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Sesiones de acceso directo para Amazon SQS
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos del principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Roles de servicio para Amazon SQS
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatible con roles de servicio:** sí

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Cambiar los permisos para un rol de servicio podría interrumpir la funcionalidad de Amazon SQS. Edite los roles de servicio solo cuando Amazon SQS proporcione orientación para hacerlo.

## Roles vinculados a servicios para Amazon SQS
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatibilidad con roles vinculados al servicio:** no 

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.







# Amazon SQS actualiza las políticas gestionadas AWS
<a name="sqs-access-policy-aws-managed-policies"></a>

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que le brinden a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS . Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS . Para obtener más información sobre las políticas AWS gestionadas, consulte las [políticas AWS gestionadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.

## AWS política gestionada: Amazon SQSFull Access
<a name="security-iam-awsmanpol-AmazonSQSFullAccess"></a>

Puede adjuntar la política `AmazonSQSFullAccess` a las identidades de Amazon SQS. Esta política concede permisos que brindan acceso completo a Amazon SQS.

Para ver los permisos de esta política, consulta [Amazon SQSFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSQSFullAccess.html) en la *Referencia de políticas AWS gestionadas*.

## AWS política gestionada: Amazon SQSRead OnlyAccess
<a name="security-iam-awsmanpol-AmazonSQSReadOnlyAccess"></a>

Puede adjuntar la política `AmazonSQSReadOnlyAccess` a las identidades de Amazon SQS. Esta política concede permisos que brindan acceso de solo lectura a Amazon SQS.

Para ver los permisos de esta política, consulta [Amazon SQSRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSQSReadOnlyAccess.html) en la *Referencia de políticas AWS gestionadas*.

## AWS política gestionada: SQSUnlock QueuePolicy
<a name="security-iam-awsmanpol-SQSUnlockQueuePolicy"></a>

Si configuró incorrectamente la política de colas de una cuenta de miembro para denegar a todos los usuarios el acceso a su cola de Amazon SQS, puede utilizar `SQSUnlockQueuePolicy` AWS la política gestionada para desbloquear la cola.

*Para obtener más información sobre cómo eliminar una política de colas mal configurada que impide a todos los principales acceder a una cola de Amazon SQS, consulte [Realizar una tarea privilegiada en una cuenta de AWS Organizations miembro en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) la Guía del usuario de IAM.*

## Amazon SQS actualiza las políticas gestionadas AWS
<a name="security-iam-awsmanpol-updates"></a>

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SQS desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos](sqs-release-notes.md) de la API de Amazon SQS.


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-SQSUnlockQueuePolicy)  |  Amazon SQS ha añadido una nueva política AWS gestionada destinada `SQSUnlockQueuePolicy` a desbloquear una cola y eliminar una política de colas mal configurada que impide a todos los directores acceder a una cola de Amazon SQS.  | 15 de noviembre de 2024 | 
|  [AmazonSQSReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonSQSReadOnlyAccess)  |  Amazon SQS ha agregado la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html), que recupera todas las etiquetas asociadas a una cola de Amazon SQS específica. Le permite ver los pares clave-valor que se han asignado a la cola con fines organizativos o de metadatos. Esta acción está asociada a la operación de la API `ListQueueTags`.  | 20 de junio de 2024 | 
|  [AmazonSQSReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonSQSReadOnlyAccess)  |  Amazon SQS ha agregado una nueva acción que permite enumerar las tareas de movimiento de mensajes más recientes (hasta diez) en una cola de origen específica. Esta acción está asociada a la operación de la API [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html).  | 9 de junio de 2023 | 

# Solución de problemas de identidad y acceso de Amazon Simple Queue Service
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información para diagnosticar y solucionar los problemas habituales que pueden surgir cuando se trabaja con Amazon SQS e IAM.

## No tengo autorización para realizar una acción en Amazon SQS
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `sqs:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: sqs:GetWidget on resource: my-example-widget
```

En este caso, la política de Mateo se debe actualizar para permitirle acceder al recurso `my-example-widget` mediante la acción `sqs:GetWidget`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No estoy autorizado a realizar tareas como: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para llevar a cabo la acción `iam:PassRole`, las políticas se deben actualizar para permitirle pasar un rol a Amazon SQS.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon SQS. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon SQS
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon SQS admite estas características, consulte [Cómo funciona Amazon Simple Queue Service con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Quiero desbloquear mi cola
<a name="sqs-troubleshooting-org-policies"></a>

Si Cuenta de AWS pertenece a una organización, AWS Organizations las políticas pueden impedirle acceder a los recursos de Amazon SQS. De forma predeterminada, AWS Organizations las políticas no bloquean ninguna solicitud a Amazon SQS. Sin embargo, asegúrese de que sus AWS Organizations políticas no se hayan configurado para bloquear el acceso a las colas de Amazon SQS. Para obtener instrucciones sobre cómo comprobar sus AWS Organizations políticas, consulte [Listar todas las políticas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html#list-all-pols-in-org.html) en la Guía del *AWS Organizations usuario*.

Además, si ha configurado de un modo incorrecto la política de cola para una cuenta de miembro con el fin de denegar a todos los usuarios el acceso a la cola de Amazon SQS, puede desbloquear dicha cola si inicia una sesión con privilegios para la cuenta de miembro en IAM. Cuando inicie una sesión con privilegios, puede eliminar la política de cola configurada de un modo incorrecto para recuperar el acceso a la cola. Para obtener más información, consulte [Realizar una tarea privilegiada en la cuenta de un AWS Organizations miembro](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) en la *Guía del usuario de IAM*.

# Uso de políticas con Amazon SQS
<a name="sqs-using-identity-based-policies"></a>

Este tema ofrece ejemplos de políticas basadas en identidad en las que un administrador de la cuenta puede adjuntar políticas de permisos a identidades de IAM (usuarios, grupos y roles).

**importante**  
Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de Amazon Simple Queue Service. Para obtener más información, consulte [Información general sobre la administración del acceso en Amazon SQS](sqs-overview-of-managing-access.md).  
Con la excepción de `ListQueues`, todas las acciones de Amazon SQS admiten permisos de nivel de recurso. Para obtener más información, consulte [Permisos de la API de Amazon SQS: referencia de acciones y recursos](sqs-api-permissions-reference.md).

## Uso de políticas de Amazon SQS e IAM
<a name="sqs-using-sqs-and-iam-policies"></a>

Hay dos formas de proporcionar a los usuarios permisos para los recursos de Amazon SQS: mediante el sistema de políticas de Amazon SQS (políticas basadas en recursos) y mediante el sistema de políticas de IAM (políticas basadas en identidades). Puede utilizar uno o ambos métodos, con la excepción de la acción `ListQueues`, que es un permiso regional que solo se puede configurar en una política de IAM.

Por ejemplo, en el siguiente diagrama se muestra una política de IAM y una política de Amazon SQS equivalente. La política de IAM otorga los derechos a Amazon `ReceiveMessage` SQS `SendMessage` y las acciones para la cola `queue_xyz` llamada en AWS su cuenta, y la política se adjunta a los usuarios llamados Bob y Susan (Bob y Susan tienen los permisos establecidos en la política). Esta política de Amazon SQS también ofrece a Bob y Susan derechos para las acciones `ReceiveMessage` y `SendMessage` de la misma cola.

**nota**  
El siguiente ejemplo muestra políticas sencillas sin condiciones. Puede especificar una condición determinada en cualquiera de las dos políticas y obtendrá el mismo resultado.

![\[Diagrama en el que se compara una política de IAM y una política de Amazon SQS equivalente. La política de IAM otorga los derechos a Amazon ReceiveMessage SQS SendMessage y las acciones para la cola queue_xyz llamada en AWS su cuenta, y la política se adjunta a los usuarios llamados Bob y Susan (Bob y Susan tienen los permisos establecidos en la política). Esta política de Amazon SQS también ofrece a Bob y Susan derechos para las acciones ReceiveMessage y SendMessage de la misma cola.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-equivalent.png)


Hay una diferencia importante entre las políticas de IAM y Amazon SQS: el sistema de políticas de Amazon SQS permite conceder permisos a AWS otras cuentas, mientras que IAM no.

Usted decide el uso que quiere hacer de ambos sistemas para administrar los permisos. Los siguientes ejemplos muestran cómo funcionan conjuntamente los dos sistemas de política.
+ En el primer ejemplo, Bob tiene una política de IAM y una política de Amazon SQS que se aplican a su cuenta. La política de IAM concede a su cuenta permiso para realizar la acción `ReceiveMessage` en `queue_xyz`, mientras que la política de Amazon SQS concede a su cuenta permiso para realizar la acción `SendMessage` en la misma cola. El siguiente diagrama ilustra este concepto.  
![\[Diagrama en el que se comparan los componentes de una política de IAM con una política de Amazon SQS. En el primer ejemplo, Bob tiene una política de IAM y una política de Amazon SQS que se aplican a su cuenta. La política de IAM concede a su cuenta permiso para realizar la acción ReceiveMessage en queue_xyz, mientras que la política de Amazon SQS concede a su cuenta permiso para realizar la acción SendMessage en la misma cola.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-union.png)

  Si Bob envía una solicitud `ReceiveMessage` a `queue_xyz`, la política de IAM permite la acción. Si Bob envía una solicitud `SendMessage` a `queue_xyz`, la política de Amazon SQS permite la acción.
+ En el segundo ejemplo, Bob abusa de su acceso a `queue_xyz`, por lo que es necesario quitar todo su acceso a la cola. Para ello, lo más fácil es añadir una política que le deniegue acceso a todas las acciones de la cola. Esta política anula las otras dos porque un permiso `deny` explícito siempre anula un permiso `allow`. Para obtener más información acerca de la lógica de evaluación de las políticas, consulte [Uso de políticas personalizadas con el lenguaje de la política de acceso de Amazon SQS](sqs-creating-custom-policies.md). El siguiente diagrama ilustra este concepto.  
![\[Diagrama que muestra una anulación de una política de IAM por una política de Amazon SQS. Bob hace un uso indebido de su acceso a queue_xyz, por lo que es necesario quitar todo su acceso a la cola. Para ello, lo más fácil es añadir una política que le deniegue acceso a todas las acciones de la cola. Esta política anula las otras dos porque un permiso deny explícito siempre anula un permiso allow.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-iam-policies-deny-override.png)

  También puede agregar a la política de Amazon SQS una instrucción adicional que deniegue a Bob cualquier tipo de acceso a la cola. Tiene el mismo efecto que agregar una política de IAM que deniegue a Bob el acceso a la cola. Para ver ejemplos de políticas que abarcan acciones y recursos de Amazon SQS, consulte [Ejemplos básicos de políticas de Amazon SQS](sqs-basic-examples-of-sqs-policies.md). Para obtener más información sobre la escritura de políticas de Amazon SQS, consulte [Uso de políticas personalizadas con el lenguaje de la política de acceso de Amazon SQS](sqs-creating-custom-policies.md).

## Permisos necesarios para usar la consola de Amazon SQS
<a name="sqs-console-permissions"></a>

Un usuario que quiera trabajar con la consola de Amazon SQS debe tener el conjunto mínimo de permisos que le permita trabajar con las colas de Amazon SQS en la Cuenta de AWS del usuario. Por ejemplo, el usuario debe tener el permiso para llamar a la acción `ListQueues` para poder enumerar colas, o el permiso para llamar a la acción `CreateQueue` para poder crear colas. Además de los permisos de Amazon SQS, para suscribir una cola de Amazon SQS a un tema de Amazon SNS, la consola también requiere permisos para las acciones de Amazon SNS.

Si crea una política de IAM que sea más restrictiva que los permisos mínimos necesarios, es posible que la consola no funcione del modo esperado para los usuarios que tienen esa política de IAM.

No es necesario permitir permisos mínimos de consola a los usuarios que solo realicen llamadas a las acciones AWS CLI o a las de Amazon SQS. 

# Ejemplos de políticas basadas en identidad para Amazon SQS
<a name="sqs-basic-examples-of-iam-policies"></a>

De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon SQS. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon SQS, incluido el formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon Simple Queue Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsqs.html) en la Referencia de autorización de *servicios*. ARNs 

**nota**  
Cuando configure los enlaces de ciclo de vida para Amazon EC2 Auto Scaling, no es necesario que escriba una política que envíe mensajes a una cola de Amazon SQS. Para obtener más información, consulte [Enlaces de ciclo de vida de Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html) en la *Guía del usuario de Amazon EC2*.

## Prácticas recomendadas sobre las políticas
<a name="security_iam_id-based-policy-examples"></a>

Las políticas basadas en identidad determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon SQS de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola de Amazon SQS
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la consola de Amazon Simple Queue Service, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Amazon SQS que tiene en su Cuenta de AWS Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No necesita conceder permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que los usuarios y los roles puedan seguir utilizando la consola de Amazon SQS, adjunte también la política gestionada de Amazon `AmazonSQSReadOnlyAccess` AWS SQS a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Permitir a un usuario crear colas
<a name="allow-queue-creation"></a>

En el siguiente ejemplo, creamos una política para Bob que le permite obtener acceso a todas las acciones de Amazon SQS, pero solo con las colas cuyos nombres tengan como prefijo la cadena literal `alice_queue_`.

Amazon SQS no concede automáticamente al creador de una cola permisos para utilizar dicha cola. Por tanto, en la política de IAM debemos conceder de forma explícita a Bob los permisos para utilizar todas las acciones de Amazon SQS, además de para la acción `CreateQueue`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:123456789012:alice_queue_*"
   }]
}
```

------

## Permitir que los desarrolladores escriban mensajes en una cola compartida
<a name="write-messages-to-shared-queue"></a>

En el siguiente ejemplo, creamos un grupo para desarrolladores y adjuntamos una política que permite al grupo usar la `SendMessage` acción Amazon SQS, pero solo con la cola que pertenece a la especificada Cuenta de AWS y que lleva el nombre. `MyCompanyQueue`

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:*:123456789012:MyCompanyQueue"
   }]
}
```

------

Puede utilizar `*` en lugar de `SendMessage` para conceder las acciones siguientes de una cola compartida a una entidad principal: `ChangeMessageVisibility`, `DeleteMessage`, `GetQueueAttributes`, `GetQueueUrl`, `ReceiveMessage` y `SendMessage`.

**nota**  
Aunque `*` incluye el acceso proporcionado por otros tipos de permisos, Amazon SQS considera los permisos por separado. Por ejemplo, es posible conceder los permisos `*` y `SendMessage` a un usuario, aunque `*` incluye el acceso que ofrece `SendMessage`.  
Este concepto también se aplica al quitar un permiso. Si una entidad principal solo tiene el permiso `*` y se solicita la eliminación del permiso `SendMessage`, la entidad principal *no* se queda con los permisos *restantes*, sino que la solicitud no tiene ningún efecto, porque la entidad principal no tenía explícitamente el permiso `SendMessage`. Si desea dejar a la entidad principal únicamente con el permiso `ReceiveMessage`, añada primero el permiso `ReceiveMessage` y, a continuación, elimine el permiso `*`.

## Permitir que los administradores obtengan el tamaño general de las colas
<a name="get-size-of-queues"></a>

En el siguiente ejemplo, creamos un grupo para administradores y adjuntamos una política que permite al grupo usar la `GetQueueAttributes` acción Amazon SQS con todas las colas que pertenecen a la cuenta especificada. AWS 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "*"   
   }]
}
```

------

## Permitir que un socio envíe mensajes a una cola específica
<a name="send-messages-to-specific-queue"></a>

Puede realizar esta tarea mediante una política de Amazon SQS o una política de IAM. Si su socio tiene una Cuenta de AWS, podría ser más fácil usar una política de Amazon SQS. Sin embargo, cualquier usuario de la empresa del socio que posea las credenciales AWS de seguridad puede enviar mensajes a la cola. Si desea limitar el acceso a un determinado usuario o aplicación, debe tratar al socio como a un usuario de su propia empresa y utilizar una política de IAM en lugar de una política de Amazon SQS.

En este ejemplo se realizan las siguientes acciones:

1. Cree un grupo llamado WidgetCo para representar a la empresa asociada.

1. Crear un usuario para la aplicación o el usuario específico de la compañía del socio que necesita acceso.

1. Agregue el usuario al grupo .

1. Adjuntar una política que conceda al grupo acceso únicamente a la acción `SendMessage` solo para la cola denominada `WidgetPartnerQueue`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
         "Effect": "Allow",
         "Action": "sqs:SendMessage",
         "Resource": "arn:aws:sqs:*:123456789012:WidgetPartnerQueue"
   }]
}
```

------

# Ejemplos básicos de políticas de Amazon SQS
<a name="sqs-basic-examples-of-sqs-policies"></a>

En esta sección se muestran políticas de ejemplo para casos de uso Amazon SQS comunes.

Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política al usuario. En un primer momento, como el usuario no tiene permisos, no podrá hacer nada más en la consola. Al asignar políticas al usuario, podrá verificar que este pueda realizar diversas acciones en la consola.

**nota**  
Le recomendamos que utilice dos ventanas del navegador: una para conceder los permisos y otra para iniciar sesión Consola de administración de AWS con las credenciales del usuario a fin de verificar los permisos a medida que se los concede al usuario.

## Ejemplo 1: conceder un permiso a otro Cuenta de AWS
<a name="grant-one-permission-to-one-account"></a>

El siguiente ejemplo de política concede a Cuenta de AWS number `111122223333` el `SendMessage` permiso para la cola nombrada `444455556666/queue1` en la región EE.UU. Este (Ohio).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_SendMessage",
      "Effect": "Allow",
      "Principal": {
         "AWS": [ 
            "111122223333"
         ]
      },
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
   }]  
}
```

------

## Ejemplo 2: conceder dos permisos a uno Cuenta de AWS
<a name="grant-two-permissions-to-one-account"></a>

El siguiente ejemplo de política concede `111122223333` al Cuenta de AWS número `SendMessage` y el `ReceiveMessage` permiso para la cola denominada`444455556666/queue1`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_Send_Receive",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
      "Resource": "arn:aws:sqs:*:444455556666:queue1"
   }]
}
```

------

## Ejemplo 3: conceder todos los permisos a dos Cuentas de AWS
<a name="grant-all-permissions-to-two-accounts"></a>

El siguiente ejemplo de política concede dos Cuentas de AWS números diferentes (`111122223333`y`444455556666`) permiso para utilizar todas las acciones a las que Amazon SQS permite el acceso compartido para la cola nombrada `123456789012/queue1` en la región EE.UU. Este (Ohio).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}
```

------

## Ejemplo 4: conceder permisos entre cuentas a un rol y un nombre de usuario
<a name="grant-cross-account-permissions-to-role-and-user-name"></a>

El siguiente ejemplo de política concede `role1` un permiso `111122223333` multicuenta `username1` bajo Cuenta de AWS número para utilizar todas las acciones a las que Amazon SQS permite el acceso compartido para la cola `123456789012/queue1` nombrada en la región EE.UU. Este (Ohio).

Los permisos entre cuentas no se aplican a las siguientes acciones:
+ `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
+ `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
+ `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
+ `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
+ `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
+ `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
+ `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
+ `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
+ `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
+ `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
+ `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
+ `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AllActions",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "arn:aws:iam::111122223333:role/role1",
            "arn:aws:iam::111122223333:user/username1"
         ]
      },
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:queue1"
   }]
}
```

------

## Ejemplo 5: conceder un permiso a todos los usuarios
<a name="grant-permissions-to-all-users"></a>

La siguiente política de ejemplo concede a todos los usuarios (usuarios anónimos) el permiso `ReceiveMessage` para la cola denominada `111122223333/queue1`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1"
   }]
}
```

------

## Ejemplo 6: conceder un permiso con restricción temporal a todos los usuarios
<a name="grant-time-limited-permission-to-all-users"></a>

La siguiente política de ejemplo concede a todos los usuarios (usuarios anónimos) el permiso `ReceiveMessage` para la cola denominada `111122223333/queue1`, pero solo desde las 12:00 h (mediodía) hasta las 15:00 h el 31 de enero de 2009.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_ReceiveMessage_TimeLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:ReceiveMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "DateGreaterThan" : {
            "aws:CurrentTime":"2009-01-31T12:00Z"
         },
         "DateLessThan" : {
            "aws:CurrentTime":"2009-01-31T15:00Z"
         }
      }
   }]
}
```

------

## Ejemplo 7: conceder todos los permisos a todos los usuarios de un rango de CIDR
<a name="grant-all-permissions-to-all-users-in-cidr-range"></a>

La siguiente política de ejemplo concede a todos los usuarios (usuarios anónimos) permiso para utilizar todas las acciones posibles de Amazon SQS que se pueden compartir para la cola denominada `111122223333/queue1`, pero solo si la solicitud procede del intervalo de CIDR `192.0.2.0/24`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_AllActions_AllowlistIP",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         }
      }
   }]
}
```

------

## Ejemplo 8: permisos Allowlist y blocklist para los usuarios de diferentes rangos de CIDR
<a name="allowlist-blocklist-permissions-for-users-in-different-cidr-ranges"></a>

La siguiente política de ejemplo contiene dos instrucciones:
+ La primera instrucción concede a todos los usuarios (usuarios anónimos) del rango de CIDR `192.0.2.0/24` (excepto `192.0.2.188`) permiso para utilizar la acción `SendMessage` para la cola denominada `111122223333`/queue1.
+ La segunda instrucción bloquea a todos los usuarios (usuarios anónimos) del rango de CIDR `12.148.72.0/23` y les impide utilizar la cola.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_AnonymousAccess_SendMessage_IPLimit",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"192.0.2.0/24"
         },
         "NotIpAddress" : {
            "aws:SourceIp":"192.0.2.188/32"
         }
      }
   }, {
      "Sid":"Queue1_AnonymousAccess_AllActions_IPLimit_Deny",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "sqs:*",
      "Resource": "arn:aws:sqs:*:111122223333:queue1",
      "Condition" : {
         "IpAddress" : {
            "aws:SourceIp":"12.148.72.0/23"
         }
      }
   }]
}
```

------

# Uso de políticas personalizadas con el lenguaje de la política de acceso de Amazon SQS
<a name="sqs-creating-custom-policies"></a>

Para conceder permisos básicos (por ejemplo, [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html)o [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html)) basándose únicamente en un Cuenta de AWS identificador, no es necesario redactar una política personalizada. En su lugar, utilice la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) de Amazon SQS.

Para permitir o denegar el acceso en función de condiciones específicas, como la hora de la solicitud o la dirección IP del solicitante, debe crear una política de Amazon SQS personalizada y cargarla mediante [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)la acción.

**Topics**
+ [Arquitectura de control de acceso](sqs-creating-custom-policies-architecture.md)
+ [Flujo de trabajo del proceso de control de acceso](sqs-creating-custom-policies-process-workflow.md)
+ [Conceptos clave del lenguaje de la política de acceso](sqs-creating-custom-policies-key-concepts.md)
+ [Lógica de evaluación del lenguaje de la política de acceso](sqs-creating-custom-policies-evaluation-logic.md)
+ [Relaciones entre las denegaciones explícitas y predeterminadas](sqs-creating-custom-policies-relationships-between-explicit-default-denials.md)
+ [Limitaciones de las políticas personalizadas](sqs-limitations-of-custom-policies.md)
+ [Ejemplos de lenguaje de la política de acceso personalizada](sqs-creating-custom-policies-access-policy-examples.md)

# Arquitectura de control de acceso de Amazon SQS
<a name="sqs-creating-custom-policies-architecture"></a>

En el diagrama siguiente, se describe el control de acceso para los recursos de Amazon SQS.

![\[Describe el control de acceso para los recursos de Amazon SQS.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Arch_Overview.png)


![\[In the previous diagram, section number one.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) Usted, el propietario del recurso.

![\[In the previous diagram, section number two.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png)Sus recursos contenidos en el AWS servicio (por ejemplo, las colas de Amazon SQS).

![\[In the previous diagram, section number three.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Sus políticas. Es recomendable tener una política por recurso. El AWS servicio proporciona una API que puede utilizar para cargar y gestionar sus políticas.

![\[In the previous diagram, section number four.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png) Los solicitantes y las solicitudes de entrada dirigidas al servicio de AWS .

![\[In the previous diagram, section number five.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) El código de evaluación del lenguaje de la política de acceso. Se trata del conjunto de códigos del AWS servicio que evalúa las solicitudes entrantes comparándolas con las políticas aplicables y determina si el solicitante puede acceder al recurso.

# Flujo de trabajo del proceso de control de acceso de Amazon SQS
<a name="sqs-creating-custom-policies-process-workflow"></a>

En el diagrama siguiente, se describe el flujo de trabajo general del control de acceso con el lenguaje de la política de acceso de Amazon SQS.

![\[El flujo de trabajo general del control de acceso con el lenguaje de la política de acceso de Amazon SQS.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Basic_Flow.png)


![\[Figure one in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) Escribe una política de Amazon SQS para la cola.

![\[Figure two in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png)Debe cargar su política en. AWS El AWS servicio proporciona una API que puedes usar para cargar tus políticas. Por ejemplo, utilice la acción `SetQueueAttributes` de Amazon SQS a fin de cargar una política para una cola de Amazon SQS determinada.

![\[Figure three in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) Alguien envía una solicitud para utilizar su cola de Amazon SQS.

![\[Figure four in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png) Amazon SQS examina todas las políticas de Amazon SQS disponibles y determina cuáles son aplicables.

![\[Figure five in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) Amazon SQS evalúa las políticas y determina si el solicitante tiene permiso para utilizar su cola.

![\[Figure six in the previous diagram.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-6-red.png) En función del resultado de evaluar las políticas, Amazon SQS devuelve un error `Access denied` al solicitante o continúa procesando la solicitud.

# Conceptos clave del lenguaje de la política de acceso de Amazon SQS
<a name="sqs-creating-custom-policies-key-concepts"></a>

Para escribir sus propias políticas, debe estar familiarizado con [JSON](http://json.org/) y varios conceptos clave.

**Permitir**  <a name="allow"></a>
El resultado de una [Instrucción](#statement) cuyo [Effect](#effect) se ha establecido en `allow`.

**Action**  <a name="action"></a>
La actividad que la [Entidad principal](#principal) tiene permiso para realizar, por lo general una solicitud para AWS.

**Default-deny**  <a name="default-deny"></a>
Resultado de una [Instrucción](#statement) que no tiene la opción [Permitir](#allow) o [Explicit-deny](#explicit-deny).

**Condición**  <a name="condition"></a>
Cualquier restricción o detalle sobre un [Permiso](#permission). Las condiciones típicas están relacionados con la fecha y la hora y con las direcciones IP.

**Effect**  <a name="effect"></a>
El resultado que desea que la [Instrucción](#statement) de una [Política](#policy) devuelva cuando se evalúe. Al escribir la instrucción de la política, debe especificar el valor `deny` o `allow`. Puede haber tres resultados posibles cuando se evalúe la política: [Default-deny](#default-deny), [Permitir](#allow) y [Explicit-deny](#explicit-deny).

**Explicit-deny**  <a name="explicit-deny"></a>
El resultado de una [Instrucción](#statement) cuyo [Effect](#effect) se ha establecido en `deny`.

**Evaluación**  <a name="evaluation"></a>
El proceso que Amazon SQS utiliza para determinar si una solicitud de entrada se debe denegar o permitir en función de una [Política](#policy).

**Emisor**  <a name="issuer"></a>
El usuario que escribe una [Política](#policy) para conceder permisos para un recurso. El emisor, por definición, es siempre el propietario del recurso. AWS no permite a los usuarios de Amazon SQS crear políticas para recursos que no son de su propiedad.

**Clave**  <a name="key"></a>
La característica específica que es la base para la restricción del acceso.

**Permiso**  <a name="permission"></a>
El concepto de permitir o impedir el acceso a un recurso mediante una [Condición](#condition) y una [Clave](#key).

**Política**  <a name="policy"></a>
El documento que actúa como contenedor de una o varias **[instrucciones](#statement)**.  

![\[La política A, que contiene la declaración 1 y la declaración 2, equivale a la política A, que contiene la declaración 1, y a la política B, que contiene la declaración 2.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Statement_and_Policy.png)

Amazon SQS utiliza la política para determinar si desea conceder acceso a un usuario para un recurso.

**Entidad principal**  <a name="principal"></a>
El usuario que recibe el [Permiso](#permission) en la [Política](#policy).

**Resource**  <a name="resource"></a>
El objeto para el que la [Entidad principal](#principal) solicita acceso.

**Instrucción**  <a name="statement"></a>
Descripción formal de un único permiso, escrita en el lenguaje de la política de acceso como parte de un documento más amplio de la [Política](#policy).

**Solicitante**  <a name="requester"></a>
El usuario que envía una solicitud de acceso a un [Resource](#resource).

# Lógica de evaluación del lenguaje de la política de acceso de Amazon SQS
<a name="sqs-creating-custom-policies-evaluation-logic"></a>

En el momento de la evaluación, Amazon SQS determina si las solicitudes procedentes de una persona que no es la propietaria del recurso deben permitirse o denegarse. La lógica de evaluación sigue varias reglas básicas:
+ De forma predeterminada, todas las solicitudes para utilizar su recurso procedentes de cualquier persona que no sea usted se deniegan.
+ Un valor *[Permitir](sqs-creating-custom-policies-key-concepts.md#allow)* anula cualquier valor *[Default-deny](sqs-creating-custom-policies-key-concepts.md#default-deny)*.
+ Una instrucción *[Explicit-deny](sqs-creating-custom-policies-key-concepts.md#explicit-deny)* anula cualquier instrucción **allow**.
+ El orden en que se evalúan las políticas no es importante.

En el diagrama siguiente, se describe con detalle cómo Amazon SQS evalúa las decisiones sobre los permisos de acceso.

![\[Diagrama de flujo que describe cómo Amazon SQS evalúa las decisiones sobre los permisos de acceso.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/AccessPolicyLanguage_Evaluation_Flow.png)


![\[In the previous diagram, number one.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-1-red.png) La decisión comienza con una instrucción **default-deny**.

![\[In the previous diagram, number two.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-2-red.png) El código de aplicación evalúa todas las políticas aplicables a la solicitud (en función del recurso, la entidad principal, la acción y las condiciones). El orden en que el código de aplicación evalúa las políticas no es importante.

![\[In the previous diagram, number three.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-3-red.png) El código de aplicación busca una instrucción **explicit-deny** que se puede aplicar a la solicitud. Si encuentra alguna, devuelve una decisión de **denegar** y el proceso termina.

![\[In the previous diagram, number four.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-4-red.png) Si no se encuentra ninguna instrucción **explicit-deny**, el código de cumplimiento buscará una instrucción **allow** que se pueda aplicar a la solicitud. Si encuentra alguna, el código de aplicación devuelve una decisión de **permitir** y el proceso continúa (el servicio sigue procesando la solicitud).

![\[In the previous diagram, number five.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/number-5-red.png) Si no se encuentra ninguna instrucción **allow**, la decisión final será **deny** (como no hay ninguna instrucción **explicit-deny** o **allow**, se considera una instrucción **default-deny**).

# Relaciones entre denegaciones explícitas y predeterminadas en el lenguaje de la política de acceso de Amazon SQS
<a name="sqs-creating-custom-policies-relationships-between-explicit-default-denials"></a>

Si una política de Amazon SQS no se aplica directamente a una solicitud, esta da como resultado *[Default-deny](sqs-creating-custom-policies-key-concepts.md#default-deny)*. Por ejemplo, si un usuario solicita permiso para utilizar Amazon SQS pero la única política que se aplica al usuario puede utilizar DynamoDB, las solicitudes dan como resultado **default-deny**.

Si no se cumple una condición de una instrucción, la solicitud da como resultado **default-deny**. Si se cumplen todas las condiciones de una instrucción, la solicitud da como resultado *[Permitir](sqs-creating-custom-policies-key-concepts.md#allow)* o *[Explicit-deny](sqs-creating-custom-policies-key-concepts.md#explicit-deny)*, en función del valor del elemento *[Effect](sqs-creating-custom-policies-key-concepts.md#effect)* de la política. Las políticas no especifican qué es lo que se debe hacer si no se cumple una condición, por lo que el resultado predeterminado en este caso es **default-deny**. Por ejemplo, suponga que desea evitar las solicitudes que proceden de la Antártida. Puede escribir una política denominada A1 que permite una solicitud solo si no procede de la Antártida. El siguiente diagrama ilustra la política de Amazon SQS.

![\[Política A1, que establece que el efecto es igual a permitir y la condición es igual a si la solicitud no proviene de la Antártida.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-allow-request-if-not-from-antarctica.png)


Si un usuario envía una solicitud desde Estados Unidos, la condición se cumple (la solicitud no procede de la Antártida) y la solicitud da como resultado **allow**. Sin embargo, si un usuario envía una solicitud desde la Antártida, la condición no se cumple y la solicitud da como resultado de forma predeterminada **default-deny**. Puede cambiar el resultado a **explicit-deny** si escribe una política A2 que deniegue explícitamente una solicitud si procede de la Antártida. El siguiente diagrama ilustra esta política.

![\[Política A2, que establece que el efecto es igual al denegar y la condición es igual a si la solicitud proviene de la Antártida.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-explicitly-deny-request-if-from-antarctica.png)


Si un usuario envía una solicitud desde la Antártida, la condición se cumple y la solicitud da como resultado **explicit-deny**.

La diferencia entre **default-deny** y **explicit-deny** es importante, ya que **allow** puede sobrescribir la primera, pero no la segunda. Por ejemplo, la política B permite solicitudes si llegan el 1 de junio de 2010. En el siguiente diagrama se compara la combinación de esta política con las políticas A1 y A2.

![\[Una side-by-side comparación entre el escenario 1 y el escenario 2.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-security-custom-policy-compare-allow-request-deny-request-policies-override.png)


En el escenario 1, la política A1 da lugar a **default-deny** y la política B da lugar a **allow**, ya que la política permite las solicitudes que entran el 1 de junio de 2010. La instrucción **allow** de la política B anula la instrucción **default-deny** de la política A1 y la solicitud se permite.

En el escenario 2, la política B2 da lugar a **explicit-deny** y la política B da lugar a **allow**. La instrucción **explicit-deny** de la política A2 anula la instrucción **allow** de la política B y la solicitud se deniega.

# Limitaciones de las políticas personalizadas de Amazon SQS
<a name="sqs-limitations-of-custom-policies"></a>

## Acceso entre cuentas
<a name="sqs-cross-account-access"></a>

Los permisos entre cuentas no se aplican a las siguientes acciones:
+ `[AddPermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html)`
+ `[CancelMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CancelMessageMoveTask.html)`
+ `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`
+ `[DeleteQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteQueue.html)`
+ `[ListMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListMessageMoveTasks.html)`
+ `[ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)`
+ `[ListQueueTags](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueueTags.html)`
+ `[RemovePermission](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_RemovePermission.html)`
+ `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`
+ `[StartMessageMoveTask](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_StartMessageMoveTask.html)`
+ `[TagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_TagQueue.html)`
+ `[UntagQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_UntagQueue.html)`

## Claves de condición
<a name="sqs-condition-keys"></a>

En la actualidad, Amazon SQS únicamente admite un subconjunto limitado de [claves de condición disponibles en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys). Para obtener más información, consulte [Permisos de la API de Amazon SQS: referencia de acciones y recursos](sqs-api-permissions-reference.md).

# Ejemplos de lenguaje de la política de acceso de Amazon SQS personalizada
<a name="sqs-creating-custom-policies-access-policy-examples"></a>

A continuación, se muestran algunos ejemplos de políticas de acceso de Amazon SQS típicas.

## Ejemplo 1: conceder permiso a una cuenta
<a name="one-account"></a>

En el ejemplo siguiente, la política de Amazon SQS proporciona a la `queue2` 111122223333 permiso para enviar y recibir información de la cola Cuenta de AWS , que es propiedad de la Cuenta de AWS 444455556666.

------
#### [ JSON ]

****  

```
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase1",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"  
   }]
}
```

------

## Ejemplo 2: conceder permiso a una o varias cuentas
<a name="two-accounts"></a>

El siguiente ejemplo de política de Amazon SQS proporciona uno o más Cuentas de AWS accesos a las colas que son propiedad de su cuenta durante un período de tiempo específico. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html), ya que la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) no permite especificar una restricción de tiempo al conceder acceso a una cola.

------
#### [ JSON ]

****  

```
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase2",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333",
            "444455556666"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         }
      }   
   }]
}
```

------

## Ejemplo 3: conceder permiso a solicitudes de instancias de Amazon EC2
<a name="requests-from-ec2"></a>

La siguiente política de ejemplo de Amazon SQS concede acceso a las solicitudes que proceden de instancias de Amazon EC2. Este ejemplo se basa en el ejemplo "[Ejemplo 2: conceder permiso a una o varias cuentas](#two-accounts)": restringe el acceso antes del 30 de junio de 2009 a las 12:00 h (UTC) y al rango de direcciones IP `203.0.113.0/24`. Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html), porque la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) no permite especificar una restricción de dirección IP al conceder acceso a una cola.

------
#### [ JSON ]

****  

```
{   
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase3",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Allow",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2",
      "Condition": {
         "DateLessThan": {
            "AWS:CurrentTime": "2009-06-30T12:00Z"
         },
         "IpAddress": {
            "AWS:SourceIp": "203.0.113.0/24"
         }
      }   
   }]
}
```

------

## Ejemplo 4: denegar acceso a una cuenta específica
<a name="deny-account"></a>

El siguiente ejemplo de política de Amazon SQS deniega un Cuenta de AWS acceso específico a su cola. Este ejemplo se basa en el ejemplo «[Ejemplo 1: conceder permiso a una cuenta](#one-account)»: deniega el acceso a lo especificado. Cuenta de AWS Es necesario escribir esta política y cargarla en Amazon SQS mediante la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html), ya que la acción [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_AddPermission.html) no permite denegar el acceso a una cola (solo permite conceder acceso a una cola). 

------
#### [ JSON ]

****  

```
{ 
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase4",
   "Statement" : [{
      "Sid": "1", 
      "Effect": "Deny",           
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ], 
      "Resource": "arn:aws:sqs:us-east-2:444455556666:queue2"   
   }]
}
```

------

## Ejemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC
<a name="deny-not-from-vpc"></a>

La siguiente política de ejemplo de Amazon SQS restringe el acceso a `queue1`: 111122223333 puede realizar las acciones [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html) y [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html) solo desde el ID `vpce-1a2b3c4d` del punto de conexión de VPC (especificado mediante la condición `aws:sourceVpce`). Para obtener más información, consulte [Puntos de conexión de Amazon Virtual Private Cloud para Amazon SQS](sqs-internetwork-traffic-privacy.md#sqs-vpc-endpoints).

**nota**  
La condición `aws:sourceVpce` no requiere un ARN para el recurso de punto de enlace de la VPC, solo el ID de la VPC.
Puede modificar el siguiente ejemplo para restringir todas las acciones para un punto de conexión de VPC concreto mediante la denegación de todas las acciones de Amazon SQS (`sqs:*`) en la segunda instrucción. Sin embargo, una declaración de política de este tipo estipularía que todas las acciones (incluidas las acciones administrativas necesarias para modificar los permisos de cola) deben realizarse a través del punto de enlace de la VPC específico definido en la política, lo que podría impedir al usuario de la cola modificar los permisos en el futuro.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "UseCase5",
   "Statement": [{
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
         "AWS": [
            "111122223333"
         ]
      },
      "Action": [
         "sqs:SendMessage",
         "sqs:ReceiveMessage"
      ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1"
      },
      {
         "Sid": "2",
         "Effect": "Deny",
         "Principal": "*",
         "Action": [
            "sqs:SendMessage",
            "sqs:ReceiveMessage"
         ],
         "Resource": "arn:aws:sqs:us-east-2:111122223333:queue1",
         "Condition": {
            "StringNotEquals": {
               "aws:sourceVpce": "vpce-1a2b3c4d"
            }
         }
      }
   ]
}
```

------

# Uso de credenciales de seguridad temporales con Amazon SQS
<a name="sqs-using-temporary-security-credentials"></a>

Además de crear usuarios con sus propias credenciales de seguridad, IAM también le permite conceder credenciales de seguridad temporales a cualquier usuario, lo que le permite acceder a sus AWS servicios y recursos. Puede administrar usuarios que tengan Cuentas de AWS. También puede administrar los usuarios de su sistema que no los tengan Cuentas de AWS (usuarios federados). Además, las aplicaciones que cree para acceder a sus AWS recursos también se pueden considerar «usuarios».

Puede utilizar estas credenciales de seguridad temporales para realizar solicitudes a Amazon SQS. Las bibliotecas de la API computan el valor de firma necesario con esas credenciales para autenticar su solicitud. Si envía las solicitudes con las credenciales caducadas, Amazon SQS deniega la solicitud.

**nota**  
No se puede establecer una política basada en credenciales temporales.

## Requisitos previos
<a name="temporary-security-credentials-prerequisites"></a>

1. Utilice IAM para crear credenciales de seguridad temporales:
   + Token de seguridad
   + ID de clave de acceso
   + Clave de acceso secreta

1. Prepare la cadena para firmar con el ID de clave de acceso temporal y el token de seguridad.

1. Utilice la clave de acceso secreta temporal en lugar de su propia clave de acceso secreta para firmar la solicitud de la API de consultas.

**nota**  
Al enviar la solicitud de la API de consultas firmada, utilice el ID de clave de acceso temporal en lugar de su propio ID de clave de acceso e incluya el token de seguridad. Para obtener más información sobre la compatibilidad de IAM con las credenciales de seguridad temporales, consulte Cómo [conceder acceso temporal a sus AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/TokenBasedAuth.html) en la Guía del *usuario de IAM*. 

## Para llamar a una acción de la API de consultas de Amazon SQS mediante credenciales de seguridad temporales
<a name="temporary-security-credentials-query-api"></a>

1. Solicite un token de seguridad temporal utilizando. AWS Identity and Access Management Para obtener más información, consulte [Creación de credenciales de seguridad temporales para permitir el acceso a los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/CreatingSessionTokens.html) en la *Guía del usuario de IAM*.

   IAM devuelve un token de seguridad, un ID de clave de acceso y una clave de acceso secreta.

1. Prepare la consulta con el ID de clave de acceso temporal en lugar de su propio ID de clave de acceso e incluya el token de seguridad. Firme la solicitud con la clave de acceso secreta temporal en lugar de utilizar su propia clave.

1. Envíe la cadena de consulta firmada con el ID de clave de acceso temporal y el token de seguridad.

   En el siguiente ejemplo, se muestra cómo se utilizan las credenciales de seguridad temporales para autenticar una solicitud de Amazon SQS. La estructura de *`AUTHPARAMS`* depende de la firma de la solicitud de API. Para obtener más información, consulte [Firmar solicitudes de AWS API](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) en la *Referencia general de Amazon Web Services*.

   ```
   https://sqs.us-east-2.amazonaws.com/
   ?Action=CreateQueue
   &DefaultVisibilityTimeout=40
   &QueueName=MyQueue
   &Attribute.1.Name=VisibilityTimeout
   &Attribute.1.Value=40
   &Expires=2020-12-18T22%3A52%3A43PST
   &SecurityToken=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   &AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
   &Version=2012-11-05
   &AUTHPARAMS
   ```

   El siguiente ejemplo utiliza credenciales de seguridad temporales para enviar dos mensajes con la acción `SendMessageBatch`.

   ```
   https://sqs.us-east-2.amazonaws.com/
   ?Action=SendMessageBatch
   &SendMessageBatchRequestEntry.1.Id=test_msg_001
   &SendMessageBatchRequestEntry.1.MessageBody=test%20message%20body%201
   &SendMessageBatchRequestEntry.2.Id=test_msg_002
   &SendMessageBatchRequestEntry.2.MessageBody=test%20message%20body%202
   &SendMessageBatchRequestEntry.2.DelaySeconds=60
   &Expires=2020-12-18T22%3A52%3A43PST
   &SecurityToken=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
   &AWSAccessKeyId=AKIAI44QH8DHBEXAMPLE
   &Version=2012-11-05
   &AUTHPARAMS
   ```

# Administración de acceso para colas cifradas de Amazon SQS con políticas de privilegio mínimo
<a name="sqs-least-privilege-policy"></a>

Puede utilizar Amazon SQS para intercambiar datos confidenciales entre aplicaciones mediante el cifrado del servidor (SSE) integrado con [AWS Key Management Service (KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). Con la integración de Amazon SQS AWS KMS, puede gestionar de forma centralizada las claves que protegen Amazon SQS, así como las claves que protegen sus demás recursos. AWS 

Varios AWS servicios pueden actuar como fuentes de eventos que envían eventos a Amazon SQS. [Para permitir que una fuente de eventos acceda a la cola cifrada de Amazon SQS, debe configurar la cola con una clave gestionada por el cliente.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS A continuación, utilice la política de claves para permitir que el servicio utilice los métodos de API necesarios. AWS KMS El servicio también requiere permisos de autenticación de acceso para que la cola pueda enviar eventos. Puede conseguirlo mediante una política de Amazon SQS, que es una política basada en recursos que puede utilizar para controlar el acceso a la cola de Amazon SQS y a sus datos.

En las siguientes secciones se proporciona información sobre cómo controlar el acceso a la cola cifrada de Amazon SQS mediante la política de Amazon SQS y la política de claves. AWS KMS Las políticas de esta guía le ayudarán a conseguir el [privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).

En esta guía también se describe cómo las políticas basadas en recursos abordan el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) mediante la utilización de las claves de contexto de condición de IAM globales [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).

**Topics**
+ [

## Descripción general de
](#sqs-least-privilege-overview)
+ [

## Política de claves de privilegio mínimo para Amazon SQS
](#sqs-least-privilege-use-case)
+ [

## Instrucciones de política de Amazon SQS para la cola de mensajes fallidos
](#sqs-policy-dlq)
+ [

## Prevención del problema del suplente confuso entre servicios
](#sqs-confused-deputy-prevention)
+ [

## Uso de Analizador de acceso de IAM para revisar el acceso entre cuentas
](#sqs-cross-account-findings)

## Descripción general de
<a name="sqs-least-privilege-overview"></a>

En este tema, le guiaremos a través de un caso de uso común para ilustrar cómo puede crear la política de claves y la política de colas de Amazon SQS. Este caso de uso se muestra en la siguiente imagen.

![\[Publicación de mensajes de Amazon SNS en Amazon SQS.\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-least-privilege.png)


En este ejemplo, el productor de mensajes es un tema de [Amazon Simple Notification Service (SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) que está configurado para la distribución ramificada de mensajes a su cola cifrada de Amazon SQS. El consumidor de mensajes es un servicio de computación, como una función de [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html), una instancia de [Amazon Elastic Compute Cloud (EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) o un contenedor de [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html). A continuación, la cola de Amazon SQS se configura para enviar los mensajes fallidos a una [cola de mensajes fallidos (DLQ)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-dead-letter-queues.html). Esto resulta útil para depurar la aplicación o el sistema de mensajería, ya que DLQs permite aislar los mensajes no consumidos y determinar por qué no se procesaron correctamente. En la solución definida en este tema, se utiliza un servicio de computación como una función de Lambda para procesar los mensajes almacenados en la cola de Amazon SQS. Si el consumidor de mensajes se encuentra en una nube privada virtual (VPC), la instrucción de política [`DenyReceivingIfNotThroughVPCE`](#sqs-restrict-message-to-endpoint) incluida en esta guía le permite restringir la recepción de mensajes a esa VPC específica.

**nota**  
Esta guía contiene solo los permisos de IAM necesarios en forma de instrucciones de política. Para crear la política, debe añadir las declaraciones a su política de Amazon SQS o a su política AWS KMS clave. Esta guía no proporciona instrucciones sobre cómo crear la cola o la clave de Amazon SQS. AWS KMS Para obtener instrucciones sobre cómo crear estos recursos, consulte [Creación de una cola de Amazon SQS](creating-sqs-standard-queues.md#step-create-standard-queue) y [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).   
La política de Amazon SQS definida en esta guía no admite el redireccionamiento de mensajes directamente a la misma cola de Amazon SQS o a una cola diferente. 

## Política de claves de privilegio mínimo para Amazon SQS
<a name="sqs-least-privilege-use-case"></a>

En esta sección, describimos los permisos con privilegios mínimos necesarios AWS KMS para la clave administrada por el cliente que utiliza para cifrar la cola de Amazon SQS. Con estos permisos, puede limitar el acceso solo a las entidades previstas a la vez que implementa el privilegio mínimo. La política de claves debe constar de las siguientes instrucciones de política, que describimos detalladamente a continuación:
+ [Otorgue permisos de administrador a la clave AWS KMS](#sqs-use-case-kms-admin-permissions)
+ [Concesión de acceso de solo lectura a los metadatos de clave](#sqs-use-case-read-only-permissions)
+ [Concesión de permisos de KMS de Amazon SNS a Amazon SNS para publicar mensajes en la cola](#sqs-use-case-publish-messages-permissions)
+ [Permiso a los consumidores para descifrar mensajes de la cola](#sqs-use-case-decrypt-messages-permissions)

### Otorgue permisos de administrador a la clave AWS KMS
<a name="sqs-use-case-kms-admin-permissions"></a>

Para crear una AWS KMS clave, debe proporcionar permisos de AWS KMS administrador a la función de IAM que utilice para implementar la AWS KMS clave. Estos permisos de administrador se definen en la siguiente instrucción de política de `AllowKeyAdminPermissions`. Cuando añadas esta declaración a tu política de AWS KMS claves, asegúrate de *<admin-role ARN>* sustituirla por el nombre de recurso de Amazon (ARN) de la función de IAM utilizada para implementar la AWS KMS clave, gestionar la AWS KMS clave o ambas. Puede ser el rol de IAM de su canalización de implementación o el [rol de administrador de su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html) en [AWS Organizations](https://aws.amazon.com/organizations/).

```
{
  "Sid": "AllowKeyAdminPermissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "<admin-role ARN>"
    ]
  },
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:TagResource",
    "kms:UntagResource",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}
```

**nota**  
En una política AWS KMS clave, el valor del `Resource` elemento debe ser`*`, lo que significa «esta AWS KMS clave». El asterisco (`*`) identifica la AWS KMS clave a la que se adjunta la política clave.

### Concesión de acceso de solo lectura a los metadatos de clave
<a name="sqs-use-case-read-only-permissions"></a>

Para conceder a otros roles de IAM acceso de solo lectura a los metadatos de clave, agregue la instrucción `AllowReadAccessToKeyMetaData` a su política de claves. Por ejemplo, la siguiente declaración le permite enumerar todas las AWS KMS claves de su cuenta con fines de auditoría. Esta declaración concede al usuario AWS raíz acceso de solo lectura a los metadatos clave. Por lo tanto, cualquier entidad principal de IAM en la cuenta puede tener acceso a los metadatos de clave cuando sus políticas basadas en identidad tengan los permisos enumerados en la siguiente instrucción: `kms:Describe*`, `kms:Get*` y `kms:List*`. Asegúrese de reemplazarlos *<account-ID>* con su propia información. 

```
{
  "Sid": "AllowReadAcesssToKeyMetaData",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::<accountID>:root"
    ]
  },
  "Action": [
    "kms:Describe*",
    "kms:Get*",
    "kms:List*"
  ],
  "Resource": "*"
}
```

### Concesión de permisos de KMS de Amazon SNS a Amazon SNS para publicar mensajes en la cola
<a name="sqs-use-case-publish-messages-permissions"></a>

Para permitir que su tema de Amazon SNS publique mensajes en su cola cifrada de Amazon SQS, agregue la instrucción de política `AllowSNSToSendToSQS` a su política de claves. Esta declaración otorga a Amazon SNS permisos para usar la AWS KMS clave para publicar en su cola de Amazon SQS. Asegúrese de sustituirla por su *<account-ID>* propia información.

**nota**  
Lo `Condition` indicado en la declaración limita el acceso únicamente al servicio Amazon SNS en la misma AWS cuenta.

```
{
  "Sid": "AllowSNSToSendToSQS",
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "sns.amazonaws.com"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "<account-id>"
    }
  }
}
```

### Permiso a los consumidores para descifrar mensajes de la cola
<a name="sqs-use-case-decrypt-messages-permissions"></a>

La siguiente instrucción `AllowConsumersToReceiveFromTheQueue` concede al consumidor de mensajes de Amazon SQS los permisos necesarios para descifrar los mensajes recibidos de la cola de Amazon SQS cifrada. Cuando adjunte la declaración de política, *<consumer's runtime role ARN>* sustitúyala por el ARN del rol de ejecución de IAM del consumidor del mensaje.

```
{
  "Sid": "AllowConsumersToReceiveFromTheQueue",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "<consumer's execution role ARN>"
    ]
  },
  "Action": [
    "kms:Decrypt"
  ],
  "Resource": "*"
}
```

### Política de Amazon SQS de privilegio mínimo
<a name="sqs-use-case-specific-policy"></a>

Esta sección le guía a través de las políticas de colas de Amazon SQS de privilegio mínimo para el caso de uso que se trata en esta guía (por ejemplo, de Amazon SNS a Amazon SQS). La política definida está diseñada para evitar el acceso no intencionado mediante la utilización de una combinación de las instrucciones `Deny` y `Allow`. Las instrucciones `Allow` conceden acceso a la entidad o entidades previstas. Las instrucciones `Deny` impiden que otras entidades no previstas accedan a la cola de Amazon SQS, al mismo tiempo que excluyen a la entidad prevista en la condición de política.

La política de Amazon SQS incluye las siguientes instrucciones, que describimos detalladamente a continuación:
+ [Restricción de los permisos de administración de Amazon SQS](#sqs-use-case-restrict-permissions)
+ [Restricción de las acciones de la cola de Amazon SQS de la organización especificada](#sqs-use-case-restrict-permissions-from-org)
+ [Concesión de permisos de Amazon SQS a los consumidores](#sqs-use-grant-consumer-permissions)
+ [Aplicación del cifrado de los datos en tránsito](#sqs-encryption-in-transit)
+ [Restricción de la transmisión de mensajes a un tema específico de Amazon SNS](#sqs-restrict-transmission-to-topic)
+ [(Opcional) Restricción de la recepción de mensajes a un punto de conexión de VPC específico](#sqs-restrict-message-to-endpoint)

### Restricción de los permisos de administración de Amazon SQS
<a name="sqs-use-case-restrict-permissions"></a>

La siguiente instrucción de política `RestrictAdminQueueActions` restringe los permisos de administración de Amazon SQS solo al rol o a los roles de IAM que utilice para implementar la cola, administrarla o ambas cosas. Asegúrese de sustituir *<placeholder values>* con su propia información. Especifique el ARN del rol de IAM utilizado para implementar la cola de Amazon SQS, así como el de cualquier rol de administrador que deba tener permisos ARNs de administración de Amazon SQS. 

```
{
  "Sid": "RestrictAdminQueueActions",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "sqs:AddPermission",
    "sqs:DeleteQueue",
    "sqs:RemovePermission",
    "sqs:SetQueueAttributes"
  ],
  "Resource": "<SQS Queue ARN>",
  "Condition": {
    "StringNotLike": {
      "aws:PrincipalARN": [
        "arn:aws:iam::<account-id>:role/<deployment-role-name>",
        "<admin-role ARN>"
      ]
    }
  }
}
```

### Restricción de las acciones de la cola de Amazon SQS de la organización especificada
<a name="sqs-use-case-restrict-permissions-from-org"></a>

Como ayuda para proteger sus recursos de Amazon SQS del acceso externo (acceso por parte de una entidad ajena a su [organización de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)), utilice la siguiente instrucción. Esta instrucción limita el acceso a la cola de Amazon SQS a la organización que especifique en la `Condition`. Asegúrese de *<SQS queue ARN>* sustituirlo por el ARN de la función de IAM utilizada para implementar la cola de Amazon SQS y, por el *<org-id>* ID de su organización. 

```
{
  "Sid": "DenyQueueActionsOutsideOrg",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "sqs:AddPermission",
    "sqs:ChangeMessageVisibility",
    "sqs:DeleteQueue",
    "sqs:RemovePermission",
    "sqs:SetQueueAttributes",
    "sqs:ReceiveMessage"
  ],
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalOrgID": [
        "<org-id>"
      ]
    }
  }
}
```

### Concesión de permisos de Amazon SQS a los consumidores
<a name="sqs-use-grant-consumer-permissions"></a>

Para recibir mensajes de la cola de Amazon SQS, debe proporcionar al consumidor de mensajes los permisos necesarios. La siguiente instrucción de política concede al consumidor que especifique los permisos necesarios para consumir mensajes de la cola de Amazon SQS. Al añadir la declaración a su política de Amazon SQS, asegúrese de *<consumer's IAM runtime role ARN>* sustituirla por el ARN de la función de ejecución de IAM utilizada por el consumidor y por el ARN de la función de IAM utilizada para implementar la cola de Amazon SQS. *<SQS queue ARN>*

```
{
  "Sid": "AllowConsumersToReceiveFromTheQueue",
  "Effect": "Allow",
  "Principal": {
    "AWS": "<consumer's IAM execution role ARN>"
  },
  "Action": [
    "sqs:ChangeMessageVisibility",
    "sqs:DeleteMessage",
    "sqs:GetQueueAttributes",
    "sqs:ReceiveMessage"
  ],
  "Resource": "<SQS queue ARN>"
}
```

Para impedir que otras entidades reciban mensajes de la cola de Amazon SQS, agregue la instrucción `DenyOtherConsumersFromReceiving` a la política de la cola de Amazon SQS. Esta instrucción restringe el consumo de mensajes al consumidor que usted especifique y no permite que otros consumidores tengan acceso, aunque sus permisos de identidad se lo concedan. Asegúrese de sustituir y por su propia información. *<SQS queue ARN>* *<consumer’s runtime role ARN>*

```
{
  "Sid": "DenyOtherConsumersFromReceiving",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "sqs:ChangeMessageVisibility",
    "sqs:DeleteMessage",
    "sqs:ReceiveMessage"
  ],
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "StringNotLike": {
      "aws:PrincipalARN": "<consumer's execution role ARN>"
    }
  }
}
```

### Aplicación del cifrado de los datos en tránsito
<a name="sqs-encryption-in-transit"></a>

La siguiente instrucción de política `DenyUnsecureTransport` obliga a los consumidores y productores a utilizar canales seguros (conexiones TLS) para enviar y recibir mensajes de la cola de Amazon SQS. Asegúrese de sustituirlo por *<SQS queue ARN>* el ARN de la función de IAM utilizada para implementar la cola de Amazon SQS.

```
{
  "Sid": "DenyUnsecureTransport",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "sqs:ReceiveMessage",
    "sqs:SendMessage"
  ],
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "Bool": {
      "aws:SecureTransport": "false"
    }
  }
}
```

### Restricción de la transmisión de mensajes a un tema específico de Amazon SNS
<a name="sqs-restrict-transmission-to-topic"></a>

La siguiente instrucción de política `AllowSNSToSendToTheQueue` permite que el tema de Amazon SNS especificado envíe mensajes a la cola de Amazon SQS. Asegúrese de *<SQS queue ARN>* sustituirlo por el ARN de la función de IAM utilizada para implementar la cola de Amazon SQS y por el ARN *<SNS topic ARN>* del tema Amazon SNS.

```
{
  "Sid": "AllowSNSToSendToTheQueue",
  "Effect": "Allow",
  "Principal": {
    "Service": "sns.amazonaws.com"
  },
  "Action": "sqs:SendMessage",
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "ArnLike": {
      "aws:SourceArn": "<SNS topic ARN>"
    }
  }
}
```

La siguiente instrucción de política `DenyAllProducersExceptSNSFromSending` impide que otros productores envíen mensajes a la cola. Sustituya *<SQS queue ARN>* y *<SNS topic ARN>* con su propia información.

```
{
  "Sid": "DenyAllProducersExceptSNSFromSending",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": "sqs:SendMessage",
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "ArnNotLike": {
      "aws:SourceArn": "<SNS topic ARN>"
    }
  }
}
```

### (Opcional) Restricción de la recepción de mensajes a un punto de conexión de VPC específico
<a name="sqs-restrict-message-to-endpoint"></a>

Para restringir la recepción de mensajes a solo un [punto de conexión de VPC](https://aws.amazon.com/about-aws/whats-new/2018/12/amazon-sqs-vpc-endpoints-aws-privatelink/) específico, agregue la siguiente instrucción de política a su política de colas de Amazon SQS. Esta instrucción impide que un consumidor de mensajes reciba mensajes de la cola a menos que los mensajes procedan del punto de conexión de VPC deseado. *<SQS queue ARN>*Sustitúyalo por el ARN de la función de IAM utilizada para implementar la cola de Amazon SQS y por el ID *<vpce\$1id>* del punto de enlace de la VPC.

```
{
  "Sid": "DenyReceivingIfNotThroughVPCE",
  "Effect": "Deny",
  "Principal": "*",
  "Action": [
    "sqs:ReceiveMessage"
  ],
  "Resource": "<SQS queue ARN>",
  "Condition": {
    "StringNotEquals": {
      "aws:sourceVpce": "<vpce id>"
    }
  }
}
```

## Instrucciones de política de Amazon SQS para la cola de mensajes fallidos
<a name="sqs-policy-dlq"></a>

Agregue las siguientes instrucciones de política, identificadas por su ID de instrucción, a su política de acceso de DLQ:
+ `RestrictAdminQueueActions`
+ `DenyQueueActionsOutsideOrg`
+ `AllowConsumersToReceiveFromTheQueue`
+ `DenyOtherConsumersFromReceiving`
+ `DenyUnsecureTransport`

Además de agregar las instrucciones de política anteriores a su política de acceso de DLQ, también debe agregar una instrucción para restringir la transmisión de mensajes a las colas de Amazon SQS, como se describe en la sección siguiente.

### Restricción de la transmisión de mensajes a las colas de Amazon SQS
<a name="sqs-dlq-restrict-permissions"></a>

Para restringir el acceso solo a las colas de Amazon SQS de la misma cuenta, agregue la siguiente instrucción de política `DenyAnyProducersExceptSQS` a la política de colas de DLQ. Esta instrucción no limita la transmisión de mensajes a una cola específica porque necesita implementar la DLQ antes de crear la cola principal, por lo que no conocerá el ARN de Amazon SQS cuando cree la DLQ. Si necesita limitar el acceso solo a una cola de Amazon SQS, modifique `aws:SourceArn` en la `Condition` con el ARN de su cola de origen de Amazon SQS cuando lo conozca.

```
{
  "Sid": "DenyAnyProducersExceptSQS",
  "Effect": "Deny",
  "Principal": {
    "AWS": "*"
  },
  "Action": "sqs:SendMessage",
  "Resource": "<SQS DLQ ARN>",
  "Condition": {
    "ArnNotLike": {
      "aws:SourceArn": "arn:aws:sqs:<region>:<account-id>:*"
    }
  }
}
```

**importante**  
Las políticas de colas de Amazon SQS definidas en esta guía no restringen la acción `sqs:PurgeQueue` a un rol o roles de IAM determinados. La acción `sqs:PurgeQueue` le permite eliminar todos los mensajes de la cola de Amazon SQS. También puede utilizar esta acción para realizar cambios en el formato de los mensajes sin reemplazar la cola de Amazon SQS. Al depurar una aplicación, puede borrar la cola de Amazon SQS para eliminar mensajes potencialmente erróneos. Cuando pruebe la aplicación, puede dirigir un elevado volumen de mensajes a través de la cola de Amazon SQS y, a continuación, purgarla para empezar de cero antes de pasar a producción. La razón de no restringir esta acción a un rol determinado se debe a que es posible que este rol no se conozca al implementar la cola de Amazon SQS. Deberá agregar este permiso a la política basada en identidades del rol para poder purgar la cola.

## Prevención del problema del suplente confuso entre servicios
<a name="sqs-confused-deputy-prevention"></a>

El [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) es una cuestión de seguridad en la que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. Para evitarlo, AWS proporciona herramientas que te ayudan a proteger tu cuenta si permites que terceros (lo que se conoce como cuentas cruzadas) u otros AWS servicios (conocidos como servicios cruzados) accedan a los recursos de tu cuenta. Las instrucciones de política de esta sección pueden ayudarlo a prevenir el problema del suplente confuso entre servicios.

La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas se puede manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Como ayuda para protegerse contra este problema, las políticas basadas en recursos definidas en esta publicación utilizan las claves de contexto de condición de IAM globales [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid). Esto limita los permisos que tiene un servicio a un recurso específico, una cuenta específica o una organización específica en AWS Organizations.

## Uso de Analizador de acceso de IAM para revisar el acceso entre cuentas
<a name="sqs-cross-account-findings"></a>

Puede utilizar [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para revisar sus políticas de colas AWS KMS y políticas clave de Amazon SQS y avisarle cuando una cola o clave de Amazon SQS conceda acceso a AWS KMS una entidad externa. Analizador de acceso de IAM le ayuda a [identificar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html) de su organización y sus cuentas que se comparten con una entidad externa. Esta zona de confianza puede ser una AWS cuenta o la organización dentro de AWS Organizations que especifique al activar IAM Access Analyzer.

IAM Access Analyzer identifica los recursos compartidos con entidades externas mediante el uso de un razonamiento basado en la lógica para analizar las políticas basadas en los recursos de su entorno. AWS Para cada instancia de un recurso compartido fuera de su zona de confianza, Analizador de acceso genera un resultado. Los [resultados](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) incluyen información sobre el acceso y la entidad principal externa a la que se le concede. Revise los resultados para determinar si el acceso es intencionado y seguro, o si el acceso es no intencionado y supone un riesgo para la seguridad. En caso de accesos no intencionados, revise la política afectada y corríjala. Consulte esta [entrada del blog](https://aws.amazon.com/blogs/aws/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/) para obtener más información sobre cómo AWS IAM Access Analyzer identifica el acceso no deseado a sus recursos. AWS 

[Para obtener más información sobre AWS IAM Access Analyzer, consulte la documentación de IAM Access Analyzer.AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)

# Permisos de la API de Amazon SQS: referencia de acciones y recursos
<a name="sqs-api-permissions-reference"></a>

A la hora de configurar [Control de acceso](security_iam_service-with-iam.md#access-control) y escribir políticas de permisos que puede asociar a una identidad de IAM, puede utilizar la siguiente tabla como referencia. La lista de la tabla cada acción de Amazon Simple Queue Service, las acciones correspondientes para las que puede conceder permisos para realizar la acción y el AWS recurso para el que puede conceder los permisos.

Especifique las acciones en el campo `Action` de la política y el valor del recurso en el campo `Resource` de la política. Para especificar una acción, use el prefijo `sqs:` seguido del nombre de acción (por ejemplo, `sqs:CreateQueue`).

En la actualidad, Amazon SQS admite las [claves de contexto de condición global disponibles en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Utilice las barras de desplazamiento para ver el resto de la tabla.


**API de Amazon Simple Queue Service y permisos necesarios para realizar acciones**  
<a name="sqs-api-and-required-permissions-for-actions-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-api-permissions-reference.html)