Wie behebe ich Probleme mit dem Zugriff auf die Amazon SQS-Warteschlange mit einer Richtlinie zum Verweigern von Warteschlangen?

Kurzbeschreibung

Das folgende Beispiel einer Richtlinie zum Verweigern verweigert allen AWS Identity and Access Management (IAM)-Entitäten den Zugriff auf alle Amazon SQS-Warteschlangenaktionen:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "deny-sqs-actions",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "SQS:*",
      "Resource": "queueNameArn"
    }
  ]
}

Lösung

Probleme mit dem SQS-Warteschlangenzugriff beheben

Wenn du den Zugriff auf deine Warteschlange verloren hast, die eine Richtlinie zum Verweigern von Warteschlangen verwendet, führe die folgenden Schritte aus:

1. Verwende den Root-Benutzer deines AWS-Kontos, um auf die Warteschlange zuzugreifen. Root-Benutzeranmeldeinformationen ermöglichen den vollen Zugriff auf alle Ressourcen im Konto. Du kannst das Root-Benutzerkonto verwenden, um eine der Warteschlange zugeordnete Richtlinie zum Verweigern zu entfernen.
2. Wenn die Richtlinie zum Verweigern bestimmte Entitäten einschränkt, versuche, Zugriff mit den Entitäten zu erhalten, die von der Richtlinie ausgeschlossen sind.
   Hinweis: Stelle sicher, dass die ausgeschlossenen Entitäten über die erforderlichen Berechtigungen für den Zugriff auf die Warteschlange verfügen.
3. Verwende die von AWS verwaltete Richtlinie SQSUnlockQueuePolicy aus dem Verwaltungskonto von AWS Organizations.

Verlust des SQS-Warteschlangenzugriffs verhindern

Die folgenden bewährten Methoden helfen, den Verlust des Warteschlangenzugriffs zu verhindern:

• Verweigere dem Root-Benutzerkonto nicht explizit den Zugriff auf die Warteschlangenrichtlinie.
• Verwende neben der Richtlinie zum Verweigern auch eine Richtlinie zum Zulassen, um sicherzustellen, dass eine Entität weiterhin Zugriff auf die Warteschlange erhalten kann.
  Wichtig: Eine ausdrückliche Verweigerung in einer Richtlinie hat Vorrang vor allen Zulassungen in einer Richtlinie.

Beispiel für eine Richtlinie mit den Anweisungen Zulassen und Verweigern

{   "Version": "2012-10-17",
   "Id": "Queue1_Policy_UUID",
   "Statement": [{
      "Sid":"Queue1_Allow_Access",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:user/User1"},
      "Action": "sqs:*",
      "Resource": "queueNameArn"
   }, {
      "Sid":"Queue1_Deny_Access",
      "Effect": "Deny",
      "NotPrincipal": {"AWS": "arn:aws:iam::111122223333:user/User1"},
      "Action": "sqs:*",
      "Resource": "queueNameArn"
   }]
}

Die vorstehende Beispielrichtlinie ermöglicht dem IAM-Benutzer User1 den Zugriff auf alle Amazon SQS-Aktionen in der angegebenen SQS-Warteschlange. Diese Richtlinie verweigert auch allen Prinzipalen außer User1 den Warteschlangenzugriff.

Hinweis: Das NotPrincipal-Element in der Richtlinie zum Verweigern schließt den angegebenen Prinzipal aus. Die Anweisung Zulassen gewährt dem ausgeschlossenen Prinzipal Zugriffsberechtigungen.

Wende dich an den AWS-Support, wenn du nicht auf die SQS-Warteschlange zugreifen kannst.

Wenn du keine Root-Benutzeranmeldedaten verwenden kannst oder die Entitäten nicht kennst, die die Richtlinie zum Verweigern ausschließt, wende dich an den AWS-Support. Erstelle einen Support-Fall und gib die folgenden Informationen an:

• Bestätige, dass du die Root-Benutzeranmeldedaten verwendet hast, um auf die Warteschlange zuzugreifen. Gib den Grund an, warum du keine Root-Benutzeranmeldedaten verwenden kannst oder warum die Root-Benutzeranmeldedaten das Problem nicht gelöst haben.
• Bestätige, dass du die von AWS verwaltete Richtlinie SQSUnlockQueuePolicy nicht verwenden kannst, und gib den Grund dafür an.
• Bestätige, dass du der Eigentümer der Warteschlange bist.
• Gib einen detaillierten Grund an, warum du Zugriff auf die Warteschlange benötigst.

Ähnliche Informationen

Überblick über die Verwaltung des Zugriffs in Amazon SQS