Creación de usuarios de IAM y colas de Amazon SQS
En los siguientes ejemplos se explica cómo crear una política de ABAC para controlar el acceso a Amazon SQS mediante la Consola de administración de AWS y CloudFormation.
Uso de Consola de administración de AWS
Crear un usuario de IAM
Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/
. -
Desde el panel de navegación izquierdo, elija Usuario.
-
Elija Agregar usuarios e introduzca un nombre en el cuadro de texto Nombre de usuario.
-
Seleccione (Clave de acceso: acceso mediante programación) y elija Siguiente: permisos.
-
Elija Siguiente:Etiquetas.
-
Agregue la clave de la etiqueta como
environmenty el valor de la etiqueta comobeta. -
Seleccione Siguiente: revisión y, después, elija Crear usuario.
-
Copie y guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro.
Agregar permisos de usuario de IAM
-
Seleccione el usuario de IAM que ha creado.
-
Elija Agregar política insertada.
-
En la pestaña JSON, pegue la política siguiente:
-
Elija Revisar política.
-
Seleccione Crear política.
Uso de AWS CloudFormation
Utilice la siguiente plantilla de CloudFormation de muestra para crear un usuario de IAM con una política insertada asociada y una cola de Amazon SQS:
AWSTemplateFormatVersion: "2010-09-09" Description: "CloudFormation template to create IAM user with custom inline policy" Resources: IAMPolicy: Type: "AWS::IAM::Policy" Properties: PolicyDocument: | { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessForSameResTag", "Effect": "Allow", "Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "sqs:DeleteMessage" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}" } } }, { "Sid": "AllowAccessForSameReqTag", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:DeleteQueue", "sqs:SetQueueAttributes", "sqs:tagqueue" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/environment": "${aws:PrincipalTag/environment}" } } }, { "Sid": "DenyAccessForProd", "Effect": "Deny", "Action": "sqs:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] } Users: - "testUser" PolicyName: tagQueuePolicy IAMUser: Type: "AWS::IAM::User" Properties: Path: "/" UserName: "testUser" Tags: - Key: "environment" Value: "beta"
