As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar filas do Amazon SQS usando o console do Amazon SQS
Use o console do Amazon SQS para configurar e gerenciar filas e recursos do Amazon SQS. Você também pode:
+ Habilite a criptografia do lado do servidor para aumentar a segurança.
+ Associe uma fila de mensagens não entregues para lidar com mensagens não processadas.
+ Configure um gatilho para invocar uma função do Lambda para processamento orientado por eventos.
# Controle de acesso por atributo para o Amazon SQS
## O que é ABAC?
O controle de acesso baseado em atributos (ABAC) é um processo de autorização que define permissões com base em tags anexadas a usuários e recursos. AWS O ABAC fornece controle de acesso detalhado e flexível com base em atributos e valores, reduz o risco de segurança relacionado a políticas reconfiguradas baseadas em perfis e centraliza a auditoria e o gerenciamento de políticas de acesso. Para obter mais detalhes sobre o ABAC, consulte [O que é a ABAC para a AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html), no *Guia do usuário do IAM*.
O Amazon SQS é compatível com o ABAC, permitindo que você controle o acesso às filas do Amazon SQS com base em tags e aliases associados a uma fila do Amazon SQS. As chaves de condição de tag e alias que ativam o ABAC no Amazon SQS autorizam as entidades principais a usar as filas do Amazon SQS sem editar políticas ou gerenciar concessões. Para saber mais sobre as chaves de condição do ABAC, consulte [Condition keys for Amazon SQS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html#amazonsqs-policy-keys) na *Referência de autorização do serviço*.
Com o ABAC, é possível usar tags para configurar permissões e políticas de acesso do IAM para as filas do Amazon SQS, o que ajuda você a escalar o gerenciamento de permissões. É possível criar uma única política de permissões no IAM usando tags que você adiciona a cada perfil empresarial, sem precisar atualizar a política toda vez em que adicionar um novo recurso. Você também pode anexar tags às entidades principais do IAM para criar uma política de ABAC. É possível criar políticas de ABAC para permitir operações do Amazon SQS quando a tag no perfil do usuário do IAM que está fazendo a chamada corresponde à tag de fila do Amazon SQS. Para saber mais sobre a marcação AWS, consulte [Estratégias de AWS marcação e.](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) [Tags de alocação de custos do Amazon SQS](sqs-queue-tags.md)
**nota**
Atualmente, o ABAC para Amazon SQS está disponível em AWS todas as regiões comerciais em que o Amazon SQS está disponível, com as seguintes exceções:
Ásia-Pacífico (Hyderabad)
Ásia-Pacífico (Melbourne)
Europa (Espanha)
Europa (Zurique)
## Por que devo usar o ABAC no Amazon SQS?
Veja alguns benefícios de usar o ABAC no Amazon SQS:
+ O ABAC para o Amazon SQS exige menos políticas de permissões. Não é necessário criar políticas diferentes para funções de trabalho diferentes. É possível usar tags de recurso e solicitação que se aplicam a mais de uma fila, o que reduz as despesas operacionais indiretas.
+ Use o ABAC para escalar equipes rapidamente. As permissões para novos recursos são concedidas automaticamente com base em tags quando os recursos são devidamente marcados durante a criação.
+ Use as permissões na entidade principal do IAM para restringir o acesso aos recursos. É possível criar tags para a entidade principal do IAM principal e usá-las para restringir o acesso a ações específicas que correspondam às tags na entidade principal do IAM. Isso ajuda você a automatizar o processo de concessão de permissões de solicitação.
+ Acompanhe quem está acessando seus recursos. Você pode determinar a identidade de uma sessão examinando os atributos do usuário no AWS CloudTrail.
**Topics**
+ [O que é ABAC?](#sqs-abac-whatis)
+ [Por que devo usar o ABAC no Amazon SQS?](#sqs-abac-benefits)
+ [Marcação para controle de acesso](sqs-abac-tagging-resource-control.md)
+ [Criação de usuários do IAM e filas do Amazon SQS](sqs-abac-creating-queues.md)
+ [Testar o controle de acesso por atributo](sqs-abac-testing-access-control.md)
# Marcação para controle de acesso no Amazon SQS
Veja a seguir um exemplo do uso de tags para controle de acesso no Amazon SQS. A política do IAM restringe um usuário do IAM a todas as ações do Amazon SQS para todas as filas que incluem uma tag de recurso com a chave “environment” (ambiente) e o valor “production” (produção). Para obter mais informações, consulte [Controle de acesso baseado em atributos com tags e Organizations AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging_abac.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForProd",
"Effect": "Allow",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "prod"
}
}
}
]
}
```
------
# Criação de usuários do IAM e filas do Amazon SQS
Os exemplos a seguir explicam como criar uma política ABAC para controlar o acesso ao Amazon SQS usando e. Console de gerenciamento da AWS CloudFormation
## Usando o Console de gerenciamento da AWS
**Criar um usuário do IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selecione **User** (Usuário) no painel de navegação à esquerda.
1. Selecione **Add Users** (Adicionar usuários) e insira um nome na caixa de texto **User name** (Nome do usuário).
1. Escolha a caixa **Access key - Programmatic access** (Chave de acesso – Acesso programático) e selecione **Next: Permissions** (Próximo: permissões).
1. Selecione **Next: Tags** (Próximo: tags).
1. Adicione `beta` como a chave da tag e `environment` como o valor da tag.
1. Selecione **Next: Review** (Próximo: revisão) e, depois, **Create user** (Criar usuário).
1. Copie e armazene o ID da chave de acesso e a chave de acesso secreta em um local seguro.
**Adicionar permissões de usuário do IAM**
1. Selecione o usuário do IAM que você criou.
1. Escolha **Add inline policy** (Adicionar política em linha).
1. Na guia JSON, cole a seguinte política:
1. Selecione **Revisar política**.
1. Selecione **Criar política**.
## Usando AWS CloudFormation
Use o CloudFormation modelo de amostra a seguir para criar um usuário do IAM com uma política embutida anexada e uma fila do Amazon SQS:
```
AWSTemplateFormatVersion: "2010-09-09"
Description: "CloudFormation template to create IAM user with custom inline policy"
Resources:
IAMPolicy:
Type: "AWS::IAM::Policy"
Properties:
PolicyDocument: |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessForSameResTag",
"Effect": "Allow",
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "AllowAccessForSameReqTag",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteQueue",
"sqs:SetQueueAttributes",
"sqs:tagqueue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": "${aws:PrincipalTag/environment}"
}
}
},
{
"Sid": "DenyAccessForProd",
"Effect": "Deny",
"Action": "sqs:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
Users:
- "testUser"
PolicyName: tagQueuePolicy
IAMUser:
Type: "AWS::IAM::User"
Properties:
Path: "/"
UserName: "testUser"
Tags:
-
Key: "environment"
Value: "beta"
```
# Testar o controle de acesso por atributo no Amazon SQS
Os exemplos a seguir mostram como testar o controle de acesso por atributo no Amazon SQS.
## Crie uma fila com a chave da tag definida como “ambiente” e o valor da tag definido como “prod”
Execute esse comando da AWS CLI para testar a criação da fila com a chave de tag definida como environment e o valor da tag definido como prod. Se você não tiver a AWS CLI, poderá [baixá-la e configurá-la](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) para sua máquina.
```
aws sqs create-queue --queue-name prodQueue —region us-east-1 —tags "environment=prod"
```
Você recebe um erro `AccessDenied` do endpoint do Amazon SQS:
```
An error occurred (AccessDenied) when calling the CreateQueue operation: Access to the resource is denied.
```
Isso ocorre porque o valor da tag no usuário do IAM não corresponde à tag transmitida na chamada de API [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html). Lembre-se de que aplicamos uma tag ao usuário do IAM com a chave definida como `environment` e o valor definido como `beta`.
## Crie uma fila com a chave da tag definida como “environment” e o valor da tag definido como “beta”
Execute esse comando da CLI para testar a criação de uma fila com a chave da tag definida como `environment` e o valor da tag definido como `beta`.
```
aws sqs create-queue --queue-name betaQueue —region us-east-1 —tags "environment=beta"
```
Você recebe uma mensagem confirmando a criação bem-sucedida da fila, semelhante à indicada abaixo.
```
{
"QueueUrl": "“
}
```
## Enviar uma mensagem para uma fila
Execute esse comando da CLI para testar o envio de uma mensagem a uma fila.
```
aws sqs send-message --queue-url --message-body testMessage
```
A resposta mostra uma entrega bem-sucedida de mensagens para a fila do Amazon SQS. A permissão de usuário do IAM permite que você envie uma mensagem para uma fila que tenha uma tag `beta`. A resposta inclui `MD5OfMessageBody` e `MessageId` contendo a mensagem.
```
{
"MD5OfMessageBody": "",
"MessageId": ""
}
```
# Configurar parâmetros de filas usando o console do Amazon SQS
Ao [criar](creating-sqs-standard-queues.md#step-create-standard-queue) ou [editar](sqs-configure-edit-queue.md) uma fila, você pode configurar os seguintes parâmetros:
+ **Visibility timeout** (Tempo limite de visibilidade): o período de tempo em que uma mensagem recebida de uma fila (por um consumidor) não estará visível para os outros consumidores de mensagens. Para obter mais informações, consulte [Tempo limite de visibilidade](sqs-visibility-timeout.md).
**nota**
Usar o console para definir o tempo limite de visibilidade configura o valor de tempo limite para todas as mensagens na fila. Para configurar o tempo limite para uma ou várias mensagens, você deve usar uma das AWS SDKs.
+ **Message retention period** (Período de retenção de mensagens): a quantidade de tempo que o Amazon SQS retém as mensagens que permanecem na fila. Por padrão, uma fila retém mensagens por quatro dias. Você pode configurar uma fila para reter as mensagens por até 14 dias. Para obter mais informações, consulte [Período de retenção de mensagens](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html).
+ **Delivery delay** (Atraso de entrega): quanto tempo o Amazon SQS atrasará antes de enviar uma mensagem adicionada à fila. Para obter mais informações, consulte [Atraso de entrega](sqs-delay-queues.md).
+ **Maximum message size** (Tamanho máximo da mensagem): tamanho máximo das mensagens para essa fila. Para obter mais informações, consulte [Tamanho máximo da mensagem](sqs-s3-messages.md).
+ **Receive message wait time** (Tempo de espera da mensagem): a quantidade máxima de tempo que o Amazon SQS espera para que as mensagens fiquem disponíveis depois que a fila recebe uma solicitação de recebimento. Para obter mais informações, consulte [Sondagem curta e longa do Amazon SQS](sqs-short-and-long-polling.md).
+ **Habilite a desduplicação baseada em conteúdo** — O Amazon SQS pode criar automaticamente a desduplicação IDs com base no corpo da mensagem. Para obter mais informações, consulte [Filas FIFO do Amazon SQS](sqs-fifo-queues.md).
+ **Enable high throughput FIFO** (Habilitar FIFO de alta taxa de transferência): use para habilitar a alta taxa de transferência disponível para mensagens na fila. Escolher esta opção altera as opções relacionadas ([Deduplication scope](enable-high-throughput-fifo.md) [Escopo de eliminação de duplicação] e [FIFO throughput limit](enable-high-throughput-fifo.md) [Limite de transferência FIFO]) para as configurações necessárias a fim de habilitar a alta taxa de transferência para filas FIFO. Para obter mais informações, consulte [Throughput alto para filas FIFO no Amazon SQS](high-throughput-fifo.md) e [Cotas de mensagens do Amazon SQS](quotas-messages.md).
+ **Redrive allow policy** (Política de permissão de redirecionamento): define quais filas de origem podem usar essa fila como a fila de mensagens mortas. Para obter mais informações, consulte [Usar filas de mensagens não entregues no Amazon SQS](sqs-dead-letter-queues.md).
**Para configurar os parâmetros de uma fila existente (console)**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**. Escolha uma fila e escolha **Edit** (Editar).
1. Role até a seção **Configuration** (Configuração).
1. Em **Visibility timeout** (Tempo limite de visibilidade), insira a duração e as unidades. O intervalo é de 0 segundo a 12 horas. O valor padrão de é 30 segundos.
1. Em **Message retention period** (Período de retenção de mensagens), insira a duração e as unidades. O intervalo é de 1 minuto a 14 dias. O valor padrão é 4 dias.
1. Em uma fila padrão, insira um valor para **Receive message wait time** (Tempo de espera da mensagem). O intervalo é de 0 a 20 segundos. O valor padrão é 0 segundo, o que define uma [sondagem curta](sqs-short-and-long-polling.md). Qualquer valor diferente de zero define uma sondagem longa.
1. Em **Delivery delay** (Atraso de entrega), insira a duração e as unidades. O intervalo é de 0 segundo a 15 minutos. O valor de padrão é 0 segundos.
1. Em **Maximum message size** (Tamanho máximo da mensagem), insira um valor. O intervalo é de 1 KiB a 1024 KiB. O valor padrão é 1024 KiB.
1. Para uma fila FIFO, escolha **Enable content-based deduplication** (Habilitar a eliminação de duplicação baseada em conteúdo) para habilitar a eliminação de duplicação baseada em conteúdo. Por padrão, essa configuração está desabilitada.
1. (Opcional) Em uma fila FIFO, para habilitar um throughput mais alto a fim de enviar e receber mensagens na fila, escolha **Enable high throughput FIFO** (Habilitar FIFO de alto throughput).
Escolher esta opção altera as opções relacionadas (**Deduplication scope** [Escopo de eliminação de duplicação] e **FIFO throughput limit** [Limite de transferência FIFO]) para as configurações necessárias a fim de habilitar a alta taxa de transferência para filas FIFO. Se você alterar qualquer uma das configurações necessárias para usar FIFO de alta taxa de transferência, a taxa de transferência normal permanecerá em vigor para a fila e a eliminação de duplicação ocorrerá conforme especificado. Para obter mais informações, consulte [Throughput alto para filas FIFO no Amazon SQS](high-throughput-fifo.md) e [Cotas de mensagens do Amazon SQS](quotas-messages.md).
1. Em **Redrive allow policy** (Política de permissão de redirecionamento), escolha **Enabled** (Habilitada). Selecione uma das seguintes opções: **Allow all** (Permitir tudo) (padrão), **By queue** (Por fila) ou **Deny all** (Negar tudo). Ao escolher **By queue** (Por fila), especifique uma lista de até 10 filas de origem pelo nome do recurso da Amazon (ARN).
1. Quando você terminar de configurar os parâmetros da fila, escolha **Save** (Salvar).
# Configurar uma política de acesso no Amazon SQS
Ao [editar](sqs-configure-edit-queue.md) uma fila, você pode configurar a política de acesso para controlar quem pode interagir com ela.
+ A política de acesso define quais contas, usuários e perfis têm permissão para acessar a fila.
+ Ela especifica as ações permitidas, como [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html), [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ReceiveMessage.html) ou [https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_DeleteMessage.html).
+ Por padrão, apenas o proprietário da fila tem permissão para enviar e receber mensagens.
****Para configurar a política de acesso para uma fila existente (console)****
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Escolha uma fila e escolha **Edit** (Editar).
1. Role até a seção **Access policy** (Política de acesso).
1. Edite as **instruções da política de acesso** na caixa de entrada. Para obter mais informações sobre instruções da política de acesso, consulte[Gerenciamento de identidade e acesso no Amazon SQS](security-iam.md).
1. Quando terminar de configurar a política de acesso, escolha **Save** (Salvar).
# Configurar a criptografia do lado do servidor para uma fila usando chaves de criptografia gerenciadas pelo SQS
Além da opção [padrão](creating-sqs-standard-queues.md#step-create-standard-queue) da criptografia do lado do servidor (SSE) gerenciada pelo Amazon SQS, a SSE gerenciada pelo Amazon SQS (SSE-SQS) permite criar uma criptografia do lado do servidor gerenciada pelo cliente que usa chaves de criptografia gerenciadas pelo SQS para proteger dados sigilosos enviados por filas de mensagens. Com o SSE-SQS, você não precisa criar e gerenciar chaves de criptografia ou modificar seu código para criptografar seus dados. O SSE-SQS permite transmitir dados com segurança e ajuda a atender a requisitos regulamentares e conformidade com criptografia rigorosa sem custo adicional.
O SSE-SQS protege os dados em repouso usando a criptografia Advanced Encryption Standard (AES-256) de 256 bits. A SSE criptografa mensagens assim que o Amazon SQS as recebe. O Amazon SQS armazena as mensagens no formato criptografado e as descriptografa apenas quando elas são enviadas a um consumidor autorizado.
**nota**
A opção de SSE comum só é efetiva quando você cria uma fila sem especificar atributos de criptografia.
O Amazon SQS permite que você desative toda a criptografia de filas. Portanto, desativar a KMS-SSE não habilitará automaticamente a SQS-SSE. Se quiser habilitar a SQS-SSE depois de desativar a KMS-SSE, você deverá adicionar uma alteração de atributos na solicitação.
**Para configurar a criptografia SSE-SQS para uma fila (console)**
**nota**
Qualquer fila criada usando o endpoint HTTP (não TLS) não habilitará a criptografia SSE-SQS por padrão. É uma prática recomendada de segurança criar filas do Amazon SQS usando endpoints HTTPS ou do [Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Escolha uma fila e escolha **Edit** (Editar).
1. Expanda **Encryption** (Criptografia).
1. Em **Server-side encryption** (Criptografia do lado do servidor), escolha **Enabled** (Habilitado) (padrão).
**nota**
Com a SSE habilitada, as solicitações anônimas `SendMessage` e `ReceiveMessage` à fila criptografada serão rejeitadas. As práticas recomendadas de segurança do Amazon SQS não aconselham o uso de solicitações anônimas. Se você quiser enviar solicitações anônimas a uma fila do Amazon SQS, desabilite o SSE.
1. Selecione **Amazon SQS key (SSE-SQS)** (Chave do Amazon SQS (SSE-SQS). Não há custo adicional para usar essa opção.
1. Escolha **Salvar**.
# Configurar a criptografia do lado do servidor para uma fila usando o console do Amazon SQS
Para proteger os dados nas mensagens de uma fila, o Amazon SQS tem a criptografia do lado do servidor (SSE) habilitada por padrão para todas as filas recém-criadas. O Amazon SQS integra-se ao Amazon Web Services Key Management Service (Amazon Web Services KMS) para gerenciar [chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) para criptografia do lado do servidor (SSE). Para obter mais informações sobre o uso de SSE, consulte [Criptografia em repouso no Amazon SQS](sqs-server-side-encryption.md).
A chave do KMS que você atribui à fila deve ter uma política de chave que inclua permissões para todas as entidades autorizadas a usar a fila. Para obter mais informações, consulte [Gerenciamento de chaves](sqs-key-management.md).
Se você não for o proprietário da chave do KMS ou se fizer login com uma conta que não tenha as permissões `kms:ListAliases` e `kms:DescribeKey`, não será possível visualizar as informações sobre a chave do KMS no console do Amazon SQS. Peça ao proprietário da chave do KMS para conceder essas permissões a você. Para obter mais informações, consulte [Gerenciamento de chaves](sqs-key-management.md).
Quando você [cria](creating-sqs-standard-queues.md#step-create-standard-queue) ou [edita](sqs-configure-edit-queue.md) uma fila, pode configurar a SSE-KMS.
**Para configurar a SSE-KMS para uma fila existente (console)**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Escolha uma fila e escolha **Edit** (Editar).
1. Expanda **Encryption** (Criptografia).
1. Em **Server-side encryption** (Criptografia do lado do servidor), escolha **Enabled** (Habilitado) (padrão).
**nota**
Com a SSE habilitada, as solicitações anônimas `SendMessage` e `ReceiveMessage` à fila criptografada serão rejeitadas. As práticas recomendadas de segurança do Amazon SQS não aconselham o uso de solicitações anônimas. Se você quiser enviar solicitações anônimas a uma fila do Amazon SQS, desabilite o SSE.
1. Selecione **AWS Key Management Service key (SSE-KMS)** (Chave do serviço de gerenciamento de chaves (SSE-KMS).
O console exibe a **Descrição**, a **Conta** e o **ARN da chave do KMS** da chave do KMS.
1. Especifique o ID da chave do KMS para a fila. Para obter mais informações, consulte [Principais termos](sqs-server-side-encryption.md#sqs-sse-key-terms).
1. Escolha a opção **Choose a KMS key alias** (Escolha um alias para a chave do KMS).
1. A chave padrão é a chave do KMS gerenciada pela Amazon Web Services para o Amazon SQS. Para usar essa chave, escolha-a na lista **KMS key** (Chave do KMS).
1. Para usar uma chave do KMS personalizada de sua conta do Amazon Web Services, escolha-a na lista **KMS key** (Chave do KMS). Para obter instruções sobre como criar chaves do KMS personalizadas, consulte [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) (Criar chaves) no *Amazon Web Services Key Management Service Developer Guide* (Guia do desenvolvedor do serviço de gerenciamento de chaves do Amazon Web Services).
1. Para usar uma chave do KMS personalizada que não esteja na lista ou uma chave do KMS personalizada de outra conta do Amazon Web Services, escolha **Enter the KMS key alias** (Inserir o alias da chave do KMS) e insira o nome do recurso da Amazon (ARN) da chave do KMS.
1. (Opcional) Em **Data key reuse period** (Período de reutilização de chaves de dados), especifique um valor entre 1 minuto e 24 horas. O padrão é 5 minutos. Para obter mais informações, consulte [Entender o período de reutilização de chaves de dados](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
1. Quando terminar de configurar a SSE-KMS, escolha **Save** (Salvar).
# Configurar tags de alocação de custos para uma fila usando o console do Amazon SQS
Para organizar e identificar suas filas do Amazon SQS, você pode adicionar tags de alocação de custos. Para obter mais informações, consulte [Tags de alocação de custos do Amazon SQS](sqs-queue-tags.md).
+ A guia Marcação na página Detalhes exibe as tags da fila.
+ Você pode adicionar ou modificar tags ao [criar](creating-sqs-standard-queues.md#step-create-standard-queue) ou [editar](sqs-configure-edit-queue.md) uma fila.
**Para configurar tags para uma fila existente (console)**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Escolha uma fila e escolha **Edit** (Editar).
1. Role até a seção **Tags**.
1. Adicionar, modificar ou remover tags da fila:
1. Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag), insira uma **Key** (Chave) e um **Value** (Valor) e, em seguida, escolha **Add new tag** (Adicionar nova tag).
1. Para atualizar uma tag, altere sua **Key** (Chave) e **Value** (Valor).
1. Para remover uma tag, escolha **Remove tag** (Remover tag) ao lado de um par chave-valor.
1. Ao terminar de configurar as tags, escolha **Save** (Salvar).
# Inscrever uma fila em um tópico do Amazon SNS usando o console do Amazon SQS
Você pode inscrever uma ou mais filas do Amazon SQS em um tópico do Amazon SNS. Quando você publica uma mensagem em um tópico, o Amazon SNS envia a mensagem para cada fila inscrita. O Amazon SQS gerencia a assinatura e gerencia as permissões necessárias. Para ter mais informações sobre o Amazon SNS, consulte [O que é o Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
Quando você inscreve uma fila do Amazon SQS em um tópico do Amazon SNS, o Amazon SNS usa HTTPS para encaminhar mensagens ao Amazon SQS. Para obter informações sobre como usar o Amazon SNS com filas criptografadas do Amazon SQS, consulte [Configurar permissões do KMS para serviços AWS](sqs-key-management.md#compatibility-with-aws-services).
**Importante**
O Amazon SQS é compatível com até 20 instruções para cada política de acesso. Assinar um tópico do Amazon SNS adiciona uma instrução desse tipo. Exceder esse valor causará uma falha na entrega da assinatura do tópico.
**Como inscrever uma fila em um tópico do Amazon SNS (console)**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Na lista de filas, escolha a fila que você deseja assinar em um tópico do Amazon SNS.
1. Em **Actions** (Ações), escolha **Subscribe to Amazon SNS topic** (Inscrever-se no tópico do Amazon SNS).
1. No menu **Especificar um tópico do Amazon SNS disponível para esta fila**, escolha o tópico do Amazon SNS para a fila.
Se o tópico do SNS não estiver listado, escolha **Inserir o ARN do tópico do Amazon SNS** e insira o nome do recurso da Amazon (ARN) do tópico.
1. Escolha **Salvar**.
1. Para verificar a assinatura, publique uma mensagem no tópico e visualize a mensagem na fila. Para ter mais informações, consulte [Publicação de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-publishing.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## Assinaturas entre contas
Se sua fila do Amazon SQS e o tópico do Amazon SNS estiverem diferentes Contas da AWS, serão necessárias permissões adicionais.
**Proprietário do tópico (Conta A)**
Modifique a política de acesso do tópico do Amazon SNS para permitir que as Conta da AWS filas do Amazon SQS se inscrevam. Exemplo de instrução de política:
```
{
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:root" },
"Action": "sns:Subscribe",
"Resource": "arn:aws:sns:us-east-1:123456789012:MyTopic"
}
```
Esta política permite que a conta `111122223333` se inscreva em `MyTopic`.
**Proprietário da fila (Conta B)**
Modifique a política de acesso da fila do Amazon SQS para permitir que o tópico do Amazon SNS envie mensagens. Exemplo de instrução de política:
```
{
"Effect": "Allow",
"Principal": { "Service": "sns.amazonaws.com" },
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-1:111122223333:MyQueue",
"Condition": {
"ArnEquals": { "aws:SourceArn": "arn:aws:sns:us-east-1:123456789012:MyTopic" }
}
}
```
Essa política permite que o `MyTopic` envie mensagens para `MyQueue`.
## Assinaturas entre regiões
Para assinar um tópico do Amazon SNS em um tópico diferente Região da AWS, certifique-se de que:
+ A política de acesso ao tópico do Amazon SNS permita assinaturas entre regiões.
+ A política de acesso da fila do Amazon SQS permita que o tópico do Amazon SNS envie mensagens entre regiões.
Para obter mais informações, [envie mensagens do Amazon SNS para uma fila AWS Lambda ou função do Amazon SQS em uma região diferente no Guia](https://docs.aws.amazon.com/sns/latest/dg/sns-cross-region-delivery.html) do desenvolvedor do *Amazon Simple* Notification Service.
# Configurando uma fila do Amazon SQS para acionar uma função AWS Lambda
Você pode usar uma função do Lambda para processar mensagens de uma fila do Amazon SQS. O Lambda sonda a fila e invoca sua função de forma síncrona, transmitindo um lote de mensagens como um evento.
**Configuração do tempo limite de visibilidade**
Defina o tempo limite de visibilidade da fila para pelo menos seis vezes o valor do [tempo limite da função](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html#configuration-common-summary). Isso garante que o Lambda tenha tempo o suficiente para tentar novamente se uma função estiver travada em um lote anterior.
**Como usar uma fila de mensagens não entregues (DLQ)**
Especifique uma fila de mensagens não entregues para capturar mensagens que a função do Lambda não conseguir processar.
**Como gerenciar várias filas e funções**
Uma função do Lambda pode processar várias filas criando uma origem de eventos separada para cada fila. É possível associar várias funções do Lambda à mesma fila.
**Permissões para filas criptografadas**
Se você associar uma fila criptografada a uma função Lambda, mas o Lambda não sondar as mensagens, adicione a permissão `kms:Decrypt` para sua função de execução do Lambda.
**Restrições**
A fila e a função do Lambda devem estar na mesma Região da AWS.
Uma [fila criptografada](sqs-server-side-encryption.md) que usa a chave padrão (chave KMS AWS gerenciada para Amazon SQS) não pode invocar uma função Lambda em outra. Conta da AWS
Para obter detalhes de implementação, consulte [Como usar o AWS Lambda com o Amazon SQS](https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html) no *Guia do desenvolvedor do AWS Lambda *.
## Pré-requisitos
Para configurar os acionadores de função Lambda, você deve atender aos seguintes requisitos:
+ Se você usar um usuário, o perfil do Amazon SQS deverá incluir as seguintes permissões:
+ `lambda:CreateEventSourceMapping`
+ `lambda:ListEventSourceMappings`
+ `lambda:ListFunctions`
+ A função de execução do Lambda deve incluir as seguintes permissões:
+ `sqs:DeleteMessage`
+ `sqs:GetQueueAttributes`
+ `sqs:ReceiveMessage`
+ Se você associar uma fila criptografada a uma função Lambda, adicione a permissão `kms:Decrypt` à função de execução do Lambda.
Para obter mais informações, consulte [Visão geral do gerenciamento de acesso no Amazon SQS](sqs-overview-of-managing-access.md).
**Para configurar uma fila para acionar uma função Lambda (console)**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Na página **Queues** (Filas), escolha a fila a ser configurada.
1. Na página da fila, escolha a guia **Lambda triggers** (Acionadores do Lambda).
1. Na página **Lambda triggers** (Acionadores do Lambda), escolha um acionador do Lambda.
Se a lista não incluir o acionador do Lambda de que você precisa, escolha **Configure Lambda function trigger** (Configurar acionador da função Lambda). Insira o nome do recurso da Amazon (ARN) da função Lambda ou escolha um recurso existente. Em seguida, escolha **Salvar**.
1. Escolha **Salvar**. O console salva a configuração e exibe a página **Details** (Detalhes) da fila.
Na página **Details** (Detalhes), a guia **Lambda triggers** (Acionadores do Lambda) exibe a função Lambda e seu status. Demora aproximadamente um minuto para a função Lambda se associar à sua fila.
1. Para verificar os resultados da configuração, você pode [enviar uma mensagem à fila](creating-sqs-standard-queues.md#sqs-send-messages) e, em seguida, visualizar a função Lambda acionada no console do Lambda.
# Automatização de notificações de AWS serviços para o Amazon SQS usando a Amazon EventBridge
A Amazon EventBridge permite que você automatize Serviços da AWS e responda a eventos, como problemas de aplicativos ou alterações de recursos, quase em tempo real.
+ Você pode criar regras para filtrar eventos específicos e definir ações automatizadas quando uma regra corresponder a um evento.
+ EventBridge suporta vários destinos, incluindo filas padrão e FIFO do Amazon SQS, que recebem eventos no formato JSON.
Para obter mais informações, consulte as [ EventBridge metas da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) no *[Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Enviar uma mensagem com atributos usando o Amazon SQS
Para filas FIFO e padrão, é possível incluir metadados estruturados em mensagens, incluindo carimbos de data e hora, dados geoespaciais, assinaturas e identificadores. Para obter mais informações, consulte [Atributos de mensagem do Amazon SQS](sqs-message-metadata.md#sqs-message-attributes).
**Como enviar uma mensagem com atributos a uma fila usando o consolo do Amazon SQS**
1. Abra o console do Amazon SQS em. [https://console.aws.amazon.com/sqs/](https://console.aws.amazon.com/sqs/)
1. No painel de navegação, escolha **Queues**.
1. Na página **Queues** (Filas), escolha uma fila.
1. Escolha **Enviar e receber mensagens**.
1. Insira os parâmetros do atributo de mensagem.
1. Na caixa de texto de nome, insira um nome exclusivo de até 256 caracteres.
1. Para o tipo de atributo, escolha **String**, **Number** (Número) ou **Binary** (Binário).
1. (Opcional) Insira um tipo de dado personalizado. Por exemplo, você pode adicionar **byte**, **int** ou **float** como tipos de dados personalizados para **Number** (Número).
1. Na caixa de texto do valor, insira o valor do atributo de mensagem.
![\[O console do Amazon SQS exibindo a seção “Atributos de mensagens”.\]](http://docs.aws.amazon.com/pt_br/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes.png)
1. Para adicionar outro atributo de mensagem, escolha **Add new attribute** (Adicionar um atributo).
![\[O console do Amazon SQS exibindo o botão “Remover” na seção “Atributos de mensagens”.\]](http://docs.aws.amazon.com/pt_br/AWSSimpleQueueService/latest/SQSDeveloperGuide/images/sqs-tutorials-sending-message-with-attributes-custom-attribute.png)
1. Você pode modificar os valores do atributo a qualquer momento antes de enviar a mensagem.
1. Para excluir um atributo, escolha **Remove** (Remover). Para excluir o primeiro atributo, feche **Message attributes** (Atributos de mensagem).
1. Ao concluir a adição de atributos à mensagem, escolha **Send Message** (Enviar mensagem). Sua mensagem é enviada e o console exibe uma mensagem de sucesso. Para visualizar informações sobre os atributos da mensagem enviada, escolha **View details** (Visualizar detalhes). Escolha **Done** (Concluído) para fechar a caixa de diálogo **Message details** (Detalhes da mensagem).