Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des files d'attente Amazon SQS à l'aide de la console Amazon SQS
Utilisez la console Amazon SQS pour configurer et gérer les files d'attente et les fonctionnalités Amazon SQS. Vous pouvez également :
+ Activez le chiffrement côté serveur pour améliorer la sécurité.
+ Associez une file d'attente de lettres mortes pour gérer les messages non traités.
+ Configurez un déclencheur pour appeler une fonction Lambda pour un traitement piloté par les événements.
# Contrôle d'accès basé sur les attributs pour Amazon SQS
## Qu'est-ce que le contrôle d'accès basé sur les attributs (ABAC) ?
Le contrôle d'accès basé sur les attributs (ABAC) est un processus d'autorisation qui définit les autorisations en fonction des balises associées aux utilisateurs et aux ressources. AWS L'ABAC fournit un contrôle d'accès granulaire et flexible basé sur des attributs et des valeurs, réduit les risques de sécurité liés aux stratégies reconfigurées basées sur les rôles et centralise l'audit et la gestion des stratégies d'accès. Pour plus de détails sur l'ABAC, consultez [Qu'est-ce que l'ABAC pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l'utilisateur IAM*.
Amazon SQS prend en charge l'ABAC en vous permettant de contrôler l'accès à vos files d'attente Amazon SQS en fonction des balises et des alias associés à une file d'attente Amazon SQS. Les clés de condition de balise et d'alias qui activent l'ABAC dans Amazon SQS autorisent les mandataires IAM à utiliser les files d'attente Amazon SQS sans modifier les stratégies ni gérer les octrois. Pour en savoir plus sur les clés de condition ABAC, consultez la section [Clés de condition pour Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html#amazonsqs-policy-keys) SQS dans *la référence d'autorisation de service*.
Avec ABAC, vous pouvez utiliser des balises pour configurer les autorisations et les stratégies d'accès IAM pour vos files d'attente Amazon SQS, ce qui vous permet de mettre à l'échelle votre gestion des autorisations. Vous pouvez créer une stratégie d'autorisation unique dans IAM à l'aide de balises que vous ajoutez à chaque rôle commercial, sans avoir à mettre à jour la stratégie chaque fois que vous ajoutez une nouvelle ressource. Vous pouvez également associer des balises aux mandataires IAM pour créer une stratégie ABAC. Vous pouvez concevoir des stratégies ABAC pour autoriser les opérations Amazon SQS lorsque la balise du rôle d'utilisateur IAM qui effectue l'appel correspond à la balise de file d'attente Amazon SQS. Pour en savoir plus sur le balisage AWS, consultez les sections [Stratégies de AWS balisage et](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). [Balises de répartition des coûts Amazon SQS](sqs-queue-tags.md)
**Note**
ABAC pour Amazon SQS est actuellement disponible dans AWS toutes les régions commerciales où Amazon SQS est disponible, avec les exceptions suivantes :
Asie-Pacifique (Hyderabad)
Asie-Pacifique (Melbourne)
Europe (Espagne)
Europe (Zurich)
## Pourquoi utiliser l'ABAC dans Amazon SQS ?
Voici quelques avantages liés à l'utilisation de l'ABAC dans Amazon SQS :
+ L'ABAC pour Amazon SQS nécessite moins de stratégies d'autorisation. Vous n'avez pas besoin de créer une stratégie pour chaque activité professionnelle. Vous pouvez utiliser des balises de ressource et de demande qui s'appliquent à plusieurs files d'attente, ce qui réduit la charge opérationnelle.
+ Utilisez l'ABAC pour mettre rapidement à l'échelle les équipes. Les autorisations d'accès aux nouvelles ressources sont automatiquement accordées en fonction des balises lorsque les ressources sont correctement balisées lors de leur création.
+ Utilisez les autorisations sur le mandataire IAM pour restreindre l'accès aux ressources. Vous pouvez créer des balises pour le mandataire IAM et les utiliser pour restreindre l'accès à des actions spécifiques correspondant aux balises du mandataire IAM. Cela vous permet d'automatiser le processus d'octroi des autorisations de demande.
+ Suivez les personnes qui accèdent à vos ressources. Vous pouvez déterminer l'identité d'une session en consultant les attributs utilisateur dans AWS CloudTrail.
**Topics**
+ [Qu'est-ce que le contrôle d'accès basé sur les attributs (ABAC) ?](#sqs-abac-whatis)
+ [Pourquoi utiliser l'ABAC dans Amazon SQS ?](#sqs-abac-benefits)
+ [Identification pour le contrôle d'accès](sqs-abac-tagging-resource-control.md)
+ [Création d'utilisateurs IAM et de files d'attente Amazon SQS](sqs-abac-creating-queues.md)
+ [Test du contrôle d'accès basé sur les attributs](sqs-abac-testing-access-control.md)
# Balisage pour le contrôle d'accès dans Amazon SQS
Voici un exemple d'utilisation de balises pour le contrôle d'accès dans Amazon SQS. La stratégie IAM limite un utilisateur IAM à toutes les actions Amazon SQS pour toutes les files d'attente qui incluent une balise de ressource indiquant l'environnement clé et la production de valeur. Pour plus d'informations, voir [Contrôle d'accès basé sur les attributs avec balises et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging_abac.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForProd",
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# Création d'utilisateurs IAM et de files d'attente Amazon SQS
Les exemples suivants expliquent comment créer une politique ABAC pour contrôler l'accès à Amazon SQS à l'aide AWS Management Console du et. CloudFormation
## À l'aide du AWS Management Console
**Créer un utilisateur IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Choisissez **Utilisateur** dans le panneau de navigation de gauche.
1. Choisissez **Ajouter des utilisateurs** et saisissez un nom dans la zone de texte **Nom d'utilisateur**.
1. Sélectionnez **Clé d'accès - Accès programmatique**, puis choisissez **Suivant : Autorisations**.
1. Choisissez **Suivant : balises**.
1. Ajouter la clé d'étiquette en tant que `environment` et la valeur de balise en tant que `beta`.
1. Choisissez **Suivant : Autorisations**, puis **Créer un utilisateur**.
1. Conservez votre ID de clé d'accès et votre clé d'accès secrète dans un emplacement sécurisé.
**Ajouter des autorisations d'utilisateur IAM**
1. Sélectionnez l'utilisateur IAM que vous avez créé.
1. Sélectionnez **Ajouter une politique en ligne**.
1. Dans l'onglet JSON, collez la stratégie suivante :
1. Choisissez **Examiner une politique**.
1. Choisissez **Create Policy** (Créer une politique).
## En utilisant AWS CloudFormation
Utilisez l'exemple de CloudFormation modèle suivant pour créer un utilisateur IAM associé à une politique intégrée et à une file d'attente Amazon SQS :
```
AWSTemplateFormatVersion: "2010-09-09"
Description: "CloudFormation template to create IAM user with custom inline policy"
Resources:
IAMPolicy:
Type: "AWS::IAM::Policy"
Properties:
PolicyDocument: |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForSameResTag",
"Effect": "Allow",
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "AllowAccessForSameReqTag",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteQueue",
"sqs:SetQueueAttributes",
"sqs:tagqueue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "DenyAccessForProd",
"Effect": "Deny",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
Users:
- "testUser"
PolicyName: tagQueuePolicy
IAMUser:
Type: "AWS::IAM::User"
Properties:
Path: "/"
UserName: "testUser"
Tags:
-
Key: "environment"
Value: "beta"
```
# Test du contrôle d'accès basé sur les attributs dans Amazon SQS
Les exemples suivants vous montrent comment tester le contrôle d'accès basé sur les attributs dans Amazon SQS.
## Créer une file d'attente avec la clé de balise définie sur environment et la valeur de balise définie sur prod
Exécutez cette commande AWS CLI pour tester la création de la file d'attente avec la clé de balise définie sur environnement et la valeur de balise définie sur prod. Si vous n'avez pas de AWS CLI, vous pouvez [la télécharger et la configurer](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) pour votre machine.
```
aws sqs create-queue --queue-name prodQueue —region us-east-1 —tags "environment=prod"
```
Vous recevez une erreur `AccessDenied` de la part du point de terminaison Amazon SQS :
```
An error occurred (AccessDenied) when calling the CreateQueue operation: Access to the resource is denied.
```
Cela est dû au fait que la valeur de balise de l'utilisateur IAM ne correspond pas à la balise transmise lors de l'appel d'API [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html). N'oubliez pas que nous avons appliqué une balise à l'utilisateur IAM avec la clé définie sur `environment` et la valeur définie sur `beta`.
## Créer une file d'attente avec la clé de balise définie sur environment et la valeur de balise définie sur beta
Exécutez cette commande CLI pour tester la création d'une file d'attente avec la clé de balise définie sur `environment` et la valeur de balise définie sur `beta`.
```
aws sqs create-queue --queue-name betaQueue —region us-east-1 —tags "environment=beta"
```
Vous recevez un message confirmant la création réussie de la file d'attente, similaire à celui ci-dessous.
```
{
"QueueUrl": "“
}
```
## Envoi d'un message à une file d'attente
Exécutez cette commande CLI pour tester l'envoi d'un message à une file d'attente.
```
aws sqs send-message --queue-url --message-body testMessage
```
La réponse indique que le message a été correctement envoyé à la file d'attente Amazon SQS. L'autorisation d'utilisateur IAM vous permet d'envoyer un message à une file d'attente comportant une balise `beta`. La réponse inclut `MD5OfMessageBody` et `MessageId` contenant le message.
```
{
"MD5OfMessageBody": "",
"MessageId": ""
}
```
# Configuration des paramètres de file d'attente à l'aide de la console Amazon SQS
Lorsque vous [créez](creating-sqs-standard-queues.md#step-create-standard-queue) ou [modifiez](sqs-configure-edit-queue.md) une file d'attente, vous pouvez configurer les paramètres suivants :
+ **Délai de visibilité** : durée pendant laquelle un message reçu d'une file d'attente (par un consommateur) ne sera pas visible pour les autres consommateurs de messages. Pour plus d'informations, consultez [Délai de visibilité](sqs-visibility-timeout.md).
**Note**
L'utilisation de la console pour configurer le délai de visibilité permet de configurer la valeur du délai pour tous les messages de la file d'attente. Pour configurer le délai d'expiration pour un ou plusieurs messages, vous devez utiliser l'un des AWS SDKs.
+ **Période de conservation des messages** : durée pendant laquelle Amazon SQS conserve les messages qui restent dans la file d'attente. Par défaut, la file d'attente conserve les messages pendant quatre jours. Vous pouvez configurer une file d'attente pour conserver les messages jusqu'à 14 jours. Pour plus d'informations, consultez [Période de conservation des messages](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html).
+ **Retard de livraison** : durée pendant laquelle Amazon SQS retardera la livraison d'un message ajouté à la file d'attente. Pour plus d'informations, consultez [Retard de livraison](sqs-delay-queues.md).
+ **Taille maximale des messages** : taille maximale des messages pour cette file d'attente. Pour plus d'informations, consultez [Taille maximale des messages](sqs-s3-messages.md).
+ **Temps d'attente des messages de réception** : durée maximale pendant laquelle Amazon SQS attend que les messages soient disponibles une fois que la file d'attente a reçu une demande de réception. Pour de plus amples informations, veuillez consulter [Recherches courtes et longues sur Amazon SQS](sqs-short-and-long-polling.md).
+ **Activez la déduplication basée sur le contenu** : Amazon SQS peut créer automatiquement une déduplication en IDs fonction du corps du message. Pour de plus amples informations, veuillez consulter [Files d'attente FIFO Amazon SQS](sqs-fifo-queues.md).
+ **Activer le FIFO à haut débit** : à utiliser pour activer le débit élevé pour les messages de la file d'attente. Le choix de cette option modifie les options associées ([Portée de la déduplication](enable-high-throughput-fifo.md) et [Limite de débit FIFO](enable-high-throughput-fifo.md)) en fonction des paramètres requis pour activer un débit élevé pour les files d'attente FIFO. Pour plus d'informations, consultez [Débit élevé pour les files d'attente FIFO dans Amazon SQS](high-throughput-fifo.md) et [Quotas de messages Amazon SQS](quotas-messages.md).
+ **Stratégie d'autorisation de redirection** : définit les files d'attente source pouvant utiliser cette file d'attente comme file d'attente de lettres mortes. Pour de plus amples informations, veuillez consulter [Utilisation de files d'attente contenant des lettres mortes dans Amazon SQS](sqs-dead-letter-queues.md).
**Pour configurer des paramètres de file d'attente pour une file d'attente existante (console)**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**. Choisissez une file d'attente, puis sélectionnez **Modifier**.
1. Accédez à la section **Configuration**.
1. Pour le **Délai de visibilité**, saisissez la durée et les unités. La plage est comprise entre 0 seconde et 12 heures. La valeur par défaut est de 30 secondes.
1. Pour **Période de conservation des messages**, saisissez la durée et les unités. La plage est comprise entre 1 minute et 14 jours. La valeur par défaut est de 4 jours.
1. Pour une file d'attente standard, saisissez une valeur pour **Temps d'attente du message de réception**. La plage est comprise entre 0 et 20 secondes. La valeur par défaut est 0 seconde, qui permet de définir la [recherche courte](sqs-short-and-long-polling.md). Toute valeur différente de zéro définit une recherche longue.
1. Pour **Retard de diffusion**, saisissez la durée et les unités. La plage est comprise entre 0 seconde et 15 minutes. La valeur par défaut est de 0 seconde.
1. Pour **Taille maximale du message**, saisissez une valeur. La plage va de 1 KiB à 1024 KiB. La valeur par défaut est 1024 KiB.
1. Pour une file d'attente FIFO, choisissez **Activer la déduplication basée sur le contenu** pour activer cette option. Par défaut, ce paramètre est désactivé.
1. (Facultatif) Pour qu'une file d'attente FIFO permette un débit plus élevé pour l'envoi et la réception de messages dans la file d'attente, choisissez **Activer le FIFO à haut débit**.
Le choix de cette option modifie les options associées (**Portée de la déduplication** et **Limite de débit FIFO**) en fonction des paramètres requis pour activer un débit élevé pour les files d'attente FIFO. Si vous modifiez l'un des paramètres requis pour utiliser le FIFO à débit élevé, le débit normal est effectif pour la file d'attente et la déduplication se produit comme indiqué. Pour plus d'informations, consultez [Débit élevé pour les files d'attente FIFO dans Amazon SQS](high-throughput-fifo.md) et [Quotas de messages Amazon SQS](quotas-messages.md).
1. Pour la **Stratégie d'autorisation de redirection**, choisissez **Activé**. Sélectionnez l'une des options suivantes : **Tout autoriser** (par défaut), **Par file d'attente** ou **Refuser tout**. Lorsque vous choisissez **Par file d'attente**, spécifiez une liste de 10 files d'attente source maximum en fonction de l'Amazon Resource Name (ARN).
1. Lorsque vous avez fini de configurer les paramètres de la file d'attente, choisissez **Enregistrer**.
# Configuration d'une politique d'accès dans Amazon SQS
Lorsque vous [modifiez](sqs-configure-edit-queue.md) une file d'attente, vous pouvez configurer sa politique d'accès pour contrôler qui peut interagir avec elle.
+ La politique d'accès définit les comptes, les utilisateurs et les rôles autorisés à accéder à la file d'attente.
+ Il indique les actions autorisées, telles que [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html), ou [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html).
+ Par défaut, seul le propriétaire de la file d'attente est autorisé à envoyer et à recevoir des messages.
****Pour configurer la politique d'accès pour une file d'attente existante (console)****
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Choisissez une file d'attente, puis sélectionnez **Modifier**.
1. Accédez à la section **stratégie d'accès**.
1. Modifiez les **déclarations de politique d'accès** dans la zone de saisie. Pour en savoir plus sur les instructions de stratégie d'accès, consultez [Gestion des identités et des accès dans Amazon SQS](security-iam.md).
1. Lorsque vous avez terminé de configurer la stratégie d'accès, choisissez **Enregistrer**.
# Configuration du chiffrement côté serveur pour une file d'attente à l'aide de clés de chiffrement gérées par SQL
Outre l'option de chiffrement côté serveur (SSE) géré par Amazon SQS [par défaut](creating-sqs-standard-queues.md#step-create-standard-queue), le SSE géré par Amazon SQS (SSE-SQS) vous permet de créer un chiffrement géré personnalisé côté serveur qui utilise des clés de chiffrement gérées par SQS pour protéger les données sensibles envoyées via des files d'attente de messages. Avec le SSE-SQS, vous n'avez pas besoin de créer et de gérer des clés de chiffrement, ni de modifier votre code pour chiffrer vos données. Le SSE-SQS vous permet de transmettre des données en toute sécurité et de respecter les exigences réglementaires et de conformité strictes en matière de chiffrement, sans frais supplémentaires.
Le SSE-SQS protège les données au repos à l'aide d'un chiffrement Advanced Encryption Standard 256 bits (AES-256). SSE chiffre les messages une fois reçus par Amazon SQS. Amazon SQS stocke les messages sous forme chiffrée et ne les déchiffre que lorsqu'ils sont envoyés à un consommateur autorisé.
**Note**
L'option SSE par défaut n'est efficace que lorsque vous créez une file d'attente sans spécifier d'attributs de chiffrement.
Amazon SQS vous permet de désactiver le chiffrement de toutes les files d'attente. Par conséquent, la désactivation du KMS-SSE n'activera pas automatiquement le SQS-SSE. Si vous souhaitez activer le SQS-SSE après avoir désactivé le KMS-SSE, vous devez ajouter un changement d'attribut dans la demande.
**Pour configurer le chiffrement SSE-SQS pour une file d'attente (console)**
**Note**
Toute nouvelle file d'attente créée à l'aide du point de terminaison HTTP (non-TLS) n'activera pas le chiffrement SSE-SQS par défaut. La création de files d'attente Amazon SQS à l'aide de points de terminaison HTTPS ou [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) constitue une bonne pratique en matière de sécurité.
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Choisissez une file d'attente, puis sélectionnez **Modifier**.
1. Développez **Chiffrement**.
1. Sous **Chiffrement côté serveur**, choisissez **Activer** (par défaut).
**Note**
Lorsque SSE est activé, les demandes anonymes `SendMessage` et `ReceiveMessage` adressées à la file d'attente chiffrée sont rejetées. Les bonnes pratiques de sécurité d'Amazon SQS recommandent de ne pas utiliser de demandes anonymes. Si vous souhaitez envoyer des demandes anonymes à une file d'attente Amazon SQS, veillez à désactiver SSE.
1. Sélectionnez la **clé Amazon SQS (SSE-SQS)**. Aucuns frais supplémentaires ne vous sont facturés pour l'utilisation de cette option.
1. Choisissez **Enregistrer**.
# Configuration du chiffrement côté serveur pour une file d'attente à l'aide de la console Amazon SQS
Pour protéger les données contenues dans les messages d'une file d'attente, Amazon SQS a activé le chiffrement côté serveur (SSE) par défaut pour toutes les files d'attente nouvellement créées. Amazon SQS s'intègre au service de gestion des clés Amazon Web Services (Amazon Web Services KMS) afin de gérer les [clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) pour le chiffrement côté serveur (SSE). Pour plus d'informations sur l'utilisation du chiffrement SSE, consultez [Chiffrement au repos dans Amazon SQS](sqs-server-side-encryption.md).
La clé KMS que vous attribuez à votre file d'attente doit avoir une stratégie de clé qui inclut des autorisations pour tous les mandataires autorisés à utiliser la file d'attente. Pour plus d'informations, consultez [Gestion des clés](sqs-key-management.md).
Si vous n'êtes pas le propriétaire de la clé KMS, ou si vous vous connectez avec un compte n'ayant pas les autorisations `kms:ListAliases` et `kms:DescribeKey`, vous ne pouvez pas afficher les informations relatives à la clé KMS sur la console Amazon SQS. Demandez au propriétaire de la clé KMS de vous accorder ces autorisations. Pour plus d'informations, consultez [Gestion des clés](sqs-key-management.md).
Lorsque vous [créez](creating-sqs-standard-queues.md#step-create-standard-queue) ou [modifiez](sqs-configure-edit-queue.md) une file d'attente, vous pouvez configurer le SSE-KMS.
**Pour configurer le SSE-KMS pour une file d'attente existante (console)**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Choisissez une file d'attente, puis sélectionnez **Modifier**.
1. Développez **Chiffrement**.
1. Sous **Chiffrement côté serveur**, choisissez **Activer** (par défaut).
**Note**
Lorsque SSE est activé, les demandes anonymes `SendMessage` et `ReceiveMessage` adressées à la file d'attente chiffrée sont rejetées. Les bonnes pratiques de sécurité d'Amazon SQS recommandent de ne pas utiliser de demandes anonymes. Si vous souhaitez envoyer des demandes anonymes à une file d'attente Amazon SQS, veillez à désactiver SSE.
1. Sélectionnez **CléAWS Key Management Service (SSE-KMS)**.
La console affiche la **Description**, le **Compte** et l'**ARN de la clé KMS**.
1. Spécifiez l'ID de clé KMS pour la file d'attente. Pour de plus amples informations, veuillez consulter [Termes clés](sqs-server-side-encryption.md#sqs-sse-key-terms).
1. Choisissez l'option **Choisir un alias de clé KMS**.
1. La clé par défaut est la clé KMS gérée par Amazon Web Services pour Amazon SQS. Pour utiliser cette clé, choisissez-la dans la liste des **clés KMS**.
1. Pour utiliser une clé KMS personnalisée depuis votre compte Amazon Web Services, choisissez-la dans la liste des **clés KMS**. Pour obtenir des instructions sur la création de clés KMS personnalisées, consultez [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du développeur Amazon Web Services Key Management Service*.
1. Pour utiliser une clé KMS personnalisée qui ne figure pas dans la liste, ou une clé KMS personnalisée provenant d'un autre compte Amazon Web Services, choisissez **Saisir l'alias de la clé KMS**, puis saisissez l'Amazon Resource Name (ARN) de la clé KMS.
1. (Facultatif) Pour la **Période de réutilisation des clés de données**, spécifiez une valeur comprise entre 1 minute et 24 heures. La valeur par défaut est de 5 minutes. Pour de plus amples informations, veuillez consulter [Présentation de la période de réutilisation des clés de données](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
1. Lorsque vous avez terminé de configurer le SSE-KMS, choisissez **Enregistrer**.
# Configuration des balises de répartition des coûts pour une file d'attente à l'aide de la console Amazon SQS
Pour organiser et identifier vos files d'attente Amazon SQS, vous pouvez ajouter des balises de répartition des coûts. Pour de plus amples informations, veuillez consulter [Balises de répartition des coûts Amazon SQS](sqs-queue-tags.md).
+ L'onglet Balisage de la page Détails affiche les balises de la file d'attente.
+ Vous pouvez ajouter ou modifier des balises lors de la [création ou de la](creating-sqs-standard-queues.md#step-create-standard-queue) [modification](sqs-configure-edit-queue.md) d'une file d'attente.
**Pour configurer les balises d'une file d'attente existante (console)**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Choisissez une file d'attente, puis sélectionnez **Modifier**.
1. Faites défiler jusqu'à la section **Balises**.
1. Ajouter, modifier ou supprimer des balises de file d'attente :
1. Pour ajouter une balise, choisissez **Ajouter une balise**, saisissez une **clé** et une **valeur**, puis choisissez **Ajouter une nouvelle balise**.
1. Pour mettre à jour une balise, modifiez sa **clé** et sa **valeur**.
1. Pour supprimer une balise, choisissez **Supprimer** en regard de sa paire clé-valeur.
1. Lorsque vous avez terminé de configurer les balises, choisissez **Enregistrer**.
# Abonnement d'une file d'attente à une rubrique Amazon SNS à l'aide de la console Amazon SQS
Vous pouvez abonner une ou plusieurs files d'attente Amazon SQS à une rubrique Amazon SNS. Lorsque vous publiez un message dans une rubrique, Amazon SNS envoie le message à chaque file d'attente abonnée. Amazon SQS gère l'abonnement et gère les autorisations requises. Pour plus d’informations sur Amazon SNS, consultez [Qu’est-ce qu’Amazon SNS ?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) dans le *Guide du développeur Amazon Simple Notification Service*.
Lorsque vous abonnez une file d'attente Amazon SQS à une rubrique Amazon SNS, Amazon SNS utilise le protocole HTTPS pour transférer les messages vers Amazon SQS. Pour plus d'informations sur l'utilisation d'Amazon SNS avec des files d'attente Amazon SQS chiffrées, consultez [Configuration des autorisations KMS pour les AWS services](sqs-key-management.md#compatibility-with-aws-services).
**Important**
Amazon SQS prend en charge un maximum de 20 instructions pour chaque politique d'accès. L'abonnement à une rubrique Amazon SNS ajoute ce type d'instruction. Le dépassement de ce montant entraînera l'échec de la livraison de l'abonnement à la rubrique.
**Pour abonner une file d'attente à une rubrique Amazon SNS (console)**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Dans la liste des files d'attente, choisissez la file d'attente à abonner à la rubrique Amazon SNS.
1. Dans **Actions**, choisissez **Subscribe to Amazon SNS topic** (Abonner à la rubrique Amazon SNS).
1. Dans le menu **Spécifier une rubrique Amazon SNS disponible pour cette file d'attente**, choisissez la rubrique Amazon SNS pour votre file d'attente.
Si le sujet SNS n'est pas répertorié, choisissez **Enter Amazon SNS topic ARN**, puis entrez le Amazon Resource Name (ARN) du sujet.
1. Choisissez **Enregistrer**.
1. Pour vérifier l'abonnement, publiez un message dans le sujet et affichez-le dans la file d'attente. Pour plus d'informations, consultez [Diffusion de messages Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-publishing.html) dans le *Guide du développeur Amazon Simple Notification Service*.
## Abonnements multi-comptes
Si votre file d'attente Amazon SQS et votre rubrique Amazon SNS sont Comptes AWS différentes, des autorisations supplémentaires sont requises.
**Propriétaire du sujet (compte A)**
Modifiez la politique d'accès de la rubrique Amazon SNS pour autoriser les files d'attente Compte AWS Amazon SQS à s'abonner. Exemple de déclaration de politique :
```
{
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:root" },
"Action": "sns:Subscribe",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyTopic"
}
```
Cette politique permet de s'abonner `111122223333` à un compte`MyTopic`.
**Propriétaire de la file d'attente (compte B)**
Modifiez la politique d'accès de la file d'attente Amazon SQS pour autoriser la rubrique Amazon SNS à envoyer des messages. Exemple de déclaration de politique :
```
{
"Effect": "Allow",
"Principal": { "Service": "sns.amazonaws.com" },
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-1:111122223333:MyQueue",
"Condition": {
"ArnEquals": { "aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:MyTopic" }
}
}
```
Cette politique permet `MyTopic` d'envoyer des messages à`MyQueue`.
## Abonnements interrégionaux
Pour vous abonner à une autre rubrique Amazon SNS Région AWS, assurez-vous que :
+ La politique d'accès de la rubrique Amazon SNS autorise les abonnements entre régions.
+ La politique d'accès de la file d'attente Amazon SQS permet à la rubrique Amazon SNS d'envoyer des messages entre les régions.
Pour plus d'informations, consultez la [section Envoyer des messages Amazon SNS à une file d'attente Amazon SQS AWS Lambda ou à une fonction dans une autre région dans](https://docs.aws.amazon.com/sns/latest/dg/sns-cross-region-delivery.html) le manuel *Amazon Simple Notification* Service Developer Guide.
# Configuration d'une file d'attente Amazon SQS pour déclencher une fonction AWS Lambda
Vous pouvez utiliser une fonction Lambda pour traiter les messages provenant d'une file d'attente Amazon SQS. Lambda interroge la file d'attente et appelle votre fonction de manière synchrone, en transmettant un lot de messages sous forme d'événement.
**Configuration du délai d'expiration de visibilité**
Définissez le délai de visibilité de la file d'attente à au moins six fois le [délai d'expiration de la fonction](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-common-summary). Cela garantit que Lambda dispose de suffisamment de temps pour réessayer si une fonction est limitée lors du traitement d'un lot précédent.
**Utilisation d'une file d'attente de lettres mortes (DLQ)**
Spécifiez une file d'attente de lettres mortes pour capturer les messages que la fonction Lambda ne parvient pas à traiter.
**Gestion de plusieurs files d'attente et fonctions**
Une fonction Lambda peut traiter plusieurs files d'attente en créant une source d'événements distincte pour chaque file d'attente. Vous pouvez également associer plusieurs fonctions Lambda à la même file d'attente.
**Autorisations pour les files d'attente chiffrées**
Si vous associez une file d'attente chiffrée à une fonction Lambda mais que Lambda n'interroge pas les messages, ajoutez l'autorisation `kms:Decrypt` à votre rôle d'exécution Lambda.
**Restrictions**
La file d'attente et la fonction Lambda doivent être identiques. Région AWS
Une [file d'attente chiffrée](sqs-server-side-encryption.md) qui utilise la clé par défaut (clé KMS AWS gérée pour Amazon SQS) ne peut pas appeler de fonction Lambda dans un autre. Compte AWS
Pour plus de détails sur l'implémentation, consultez la section [Utilisation AWS Lambda avec Amazon SQS](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html) dans le Guide du *AWS Lambda développeur*.
## Conditions préalables
Pour configurer les déclencheurs de la fonction Lambda, vous devez respecter les conditions requises suivantes :
+ Si vous faites appel à un utilisateur, votre rôle Amazon SQS doit inclure les autorisations suivantes :
+ `lambda:CreateEventSourceMapping`
+ `lambda:ListEventSourceMappings`
+ `lambda:ListFunctions`
+ Le rôle d'exécution Lambda doit inclure les autorisations suivantes :
+ `sqs:DeleteMessage`
+ `sqs:GetQueueAttributes`
+ `sqs:ReceiveMessage`
+ Si vous associez une file d'attente chiffrée à une fonction Lambda, ajoutez l'autorisation `kms:Decrypt` à votre rôle d'exécution Lambda.
Pour de plus amples informations, veuillez consulter [Présentation de la gestion de l'accès dans Amazon SQS](sqs-overview-of-managing-access.md).
**Pour configurer une file d'attente afin de déclencher une fonction Lambda (console)**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Sur la page **Files d'attente**, choisissez la file d'attente à configurer.
1. Sur la page de la file d'attente, choisissez l'onglet **Déclencheurs de fonction Lambda**.
1. Sur la page **Déclencheurs de fonction Lambda**, choisissez un déclencheur de fonction Lambda.
Si la liste n'inclut pas le déclencheur de fonction Lambda dont vous avez besoin, choisissez **Configurer le déclencheur de fonction Lambda**. Saisissez l'Amazon Resource Name (ARN) de la fonction Lambda ou choisissez une ressource existante. Ensuite, choisissez **Save** (Enregistrer).
1. Choisissez **Enregistrer**. La console enregistre la configuration et affiche la page **Détails** de la file d'attente.
Sur la page **Détails**, l'onglet **Déclencheurs de fonction Lambda** affiche la fonction Lambda et son statut. L'association de la fonction Lambda à votre file d'attente peut prendre environ 1 minute.
1. Pour vérifier le résultat de la configuration, [envoyez un message à votre file d'attente](creating-sqs-standard-queues.md#sqs-send-messages) et affichez la fonction Lambda déclenchée dans la console Lambda.
# Automatiser les notifications envoyées par les AWS services à Amazon SQS à l'aide d'Amazon EventBridge
Amazon vous EventBridge permet d'automatiser Services AWS et de répondre à des événements, tels que des problèmes d'application ou des modifications de ressources, en temps quasi réel.
+ Vous pouvez créer des règles pour filtrer des événements spécifiques et définir des actions automatisées lorsqu'une règle correspond à un événement.
+ EventBridge prend en charge plusieurs cibles, notamment les files d'attente standard Amazon SQS et FIFO, qui reçoivent des événements au format JSON.
Pour plus d'informations, consultez les [ EventBridge cibles Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) dans le *[guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Envoi d'un message avec des attributs à l'aide d'Amazon SQS
Pour les files d'attente standard et FIFO, vous pouvez inclure des métadonnées structurées dans les messages, notamment des horodatages, des données géospatiales, des signatures et des identifiants. Pour de plus amples informations, veuillez consulter [Attributs de message Amazon SQS](sqs-message-metadata.md#sqs-message-attributes).
**Pour envoyer un message contenant des attributs à une file d'attente à l'aide de la console Amazon SQS**
1. Ouvrez la console Amazon SQS à l'adresse. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. Dans le volet de navigation, choisissez **Files d'attente**.
1. Sur la page **Files d'attente**, choisissez une file d'attente.
1. Choisissez **Envoyer et recevoir des messages**.
1. Saisissez les paramètres d'attribut du message.
1. Dans la zone de texte Nom, saisissez un nom unique comportant jusqu'à 256 caractères.
1. Pour le type d'attribut, choisissez **Chaîne**, **Nombre** ou **Binaire**.
1. (Facultatif) Saisissez un type de données personnalisé. Par exemple, vous pouvez ajouter **byte**, **int** ou **float** en tant que types de données personnalisés pour **Nombre**.
1. Dans la zone de texte de la valeur, saisissez la valeur de l'attribut de message.
![\[La console Amazon SQS affiche la section des attributs du message.\]](http://docs.aws.amazon.com/fr_fr/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes.png)
1. Pour ajouter un autre attribut de message, sélectionnez **Ajouter un nouvel attribut**.
![\[La console Amazon SQS affiche le bouton Supprimer dans la section Attributs du message.\]](http://docs.aws.amazon.com/fr_fr/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes-custom-attribute.png)
1. Vous pouvez modifier les valeurs d'attribut à tout moment avant d'envoyer le message.
1. Pour supprimer un attribut, choisissez **Supprimer**. Pour supprimer le premier attribut, fermez les **attributs du message**.
1. Lorsque vous avez fini d'ajouter des attributs au message, choisissez **Envoyer un message**. Votre message est envoyé et la console affiche un message de réussite. Pour afficher les informations relatives aux attributs du message envoyé, choisissez **Afficher les détails**. Choisissez **Terminé** pour fermer la boîte de dialogue **Détails du message**.