了解如何在 Amazon SQS 中配置死信队列重新驱动
使用死信队列重新驱动,将死信队列中未使用的消息移到其他目标进行处理。默认情况下,死信队列重新驱动会将消息从死信队列移动到源队列。但是,您还可以将任何其他队列配置为重新驱动目的地,前提是两个队列属于同一类型。例如,如果死信队列是 FIFO 队列,则重新驱动目的地队列也必须是 FIFO 队列。此外,您可以配置重新驱动速度以设置 Amazon SQS 移动消息的速率。
注意
当消息从 FIFO 队列移动到 FIFO DLQ 时,原始消息的重复数据删除 ID 将替换为原始消息的 ID。这是为了确保 DLQ 重复数据删除不会阻止存储恰好共享重复数据删除 ID 的两条独立消息。
死信队列按接收顺序重新驱动消息,从最旧的消息开始。但是,目标队列会根据接收消息的顺序摄取重新驱动的消息以及来自其他创建者的新消息。例如,如果创建者在向源 FIFO 队列发送消息的同时从死信队列接收重新驱动的消息,则重新驱动的消息将与创建者的新消息交织在一起。
注意
重新驱动任务会重置保留期。所有重新驱动的消息都被视为新消息,并且系统会为其分配新的 messageID 和 enqueueTime。
使用 Amazon SQS API 为现有标准队列配置死信队列重新驱动
您可以使用 StartMessageMoveTask、ListMessageMoveTasks 和 CancelMessageMoveTask API 操作配置死信队列重新驱动:
| API 操作 | 描述 |
|---|---|
|
启动异步任务,将消息从指定的源队列移动到指定的目标队列。 |
|
|
获取特定源队列下的最新消息移动任务(最多 10 个)。 |
|
|
取消指定的消息移动任务。只有在当前状态为“正在运行”时,才能取消消息移动。 |
使用 Amazon SQS 控制台为现有标准队列配置死信队列重新驱动
通过以下网址打开 Amazon SQS 控制台:https://console.aws.amazon.com/sqs/
。 -
在导航窗格中,选择队列。
-
选择已配置为死信队列的队列名称。
-
选择开始 DLQ 重新驱动。
-
在重新驱动配置下,对于消息目标,执行以下任一操作:
-
要将消息重新驱动到其源队列,请选择重新驱动到源队列。
-
要将消息重新驱动到其他队列,请选择驱动到自定义目标。然后,输入现有目标队列的 Amazon 资源名称 (ARN)。
-
-
在速度控制设置下,选择以下一个选项:
-
系统优化 - 以每秒最大消息数重新驱动死信队列消息。
-
自定义最大速度 - 使用自定义每秒最大消息速率重新驱动死信队列消息。允许的最大速率为每秒 500 条消息。
-
建议从“自定义最大速度”的较小值开始,并验证源队列不会被消息淹没。在这里,逐渐增加“自定义最大速度”值,继续监控源队列的状态。
-
-
-
配置完死信队列重新驱动后,选择重新驱动消息。
重要
Amazon SQS 不支持在将消息从死信队列中重新驱动时筛选和修改消息。
死信队列重新驱动任务最多可以运行 36 小时。Amazon SQS 支持每个账户最多 100 个活跃的重新驱动任务。
-
如果要取消消息重新驱动任务,请在队列的详细信息页面上,选择取消 DLQ 重新驱动。取消正在进行的消息重新驱动时,任何已经成功移至其移动目标队列的消息都将保留在目标队列中。
为死信队列重新驱动配置队列权限
您可以通过向策略添加权限来授予用户访问特定死信队列操作的权限。死信队列重新驱动所需的最低权限如下:
| 最小权限 | 必需的 API 方法 |
|---|---|
| 启动消息重新驱动 |
|
| 取消进行中的消息重新驱动 |
|
| 显示消息移动状态 |
|
为加密队列对(带有死信队列的源队列)配置权限
使用以下步骤配置死信队列(DLQ)重新驱动的最低权限:
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择策略。
-
创建新策略并添加以下权限。将该策略附加到将执行重新驱动操作的 IAM 用户或角色。
-
DLQ(源队列)的权限:
-
sqs:StartMessageMoveTask -
sqs:CancelMessageMoveTask -
sqs:ListMessageMoveTasks -
sqs:ReceiveMessage -
sqs:DeleteMessage -
sqs:GetQueueAttributes -
sqs:ListDeadLetterSourceQueues -
指定 DLQ(源队列)的资源 ARN(例如,“arn:aws:sqs:
<DLQ_region>:<DLQ_accountId>:<DLQ_name>”)。
-
-
目标队列的权限:
-
sqs:SendMessage -
指定目标队列的
Resource ARN(例如,“arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>”)。
-
-
KMS 密钥的权限:
-
kms:Decrypt(需要,用于解密 DLQ 中的消息。) -
kms:GenerateDataKey(需要,用于加密目标队列中的消息。)-
ResourceARN:-
用于加密 DLQ(源队列)中消息的 KMS 密钥的 ARN(例如,“arn:aws:kms:
<region>:<accountId>:key/<SourceQueueKeyId>”)。 -
用于加密目标队列中消息的 KMS 密钥的 ARN(例如,“arn:aws:kms:
<region>:<accountId>:key/<DestinationQueueKeyId>”)。
-
-
-
访问策略应类似下文:
-
使用非加密队列对(带有死信队列的源队列)配置权限
遵循以下步骤配置处理未加密的标准死信队列(DLQ)所需的最低权限。所需的最低权限包括:从死信队列中接收、删除和获取属性,以及向源队列发送属性。
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择策略。
-
创建新策略并添加以下权限。将该策略附加到将执行重新驱动操作的 IAM 用户或角色。
-
DLQ(源队列)的权限:
-
sqs:StartMessageMoveTask -
sqs:CancelMessageMoveTask -
sqs:ListMessageMoveTasks -
sqs:ReceiveMessage -
sqs:DeleteMessage -
sqs:ListDeadLetterSourceQueues -
指定 DLQ(源队列)的资源 ARN(例如,“arn:aws:sqs:
<DLQ_region>:<DLQ_accountId>:<DLQ_name>”)。
-
-
目标队列的权限:
-
sqs:SendMessage -
指定目标队列的
Resource ARN(例如,“arn:aws:sqs:<DestQueue_region>:<DestQueue_accountId>:<DestQueue_name>”)。
-
访问策略应类似下文:
-
使用死信队列重新驱动和 VPC 端点访问控制
当您使用 aws:sourceVpc 条件仅允许特定 VPC 访问队列时,需要将 Amazon 服务设为例外才能启用死信队列(DLQ)重新驱动功能。这是因为在移动消息时,Amazon SQS 服务在您的 VPC 之外运行。
要允许 DLQ 重新驱动操作,请将 aws:CalledViaLast 条件添加到您的队列策略中。这将允许 Amazon SQS 代表您进行 API 调用,同时保持 VPC 限制以便直接访问。
要同时允许 VPC 受限访问和 DLQ 重新驱动,请执行以下操作:
-
在队列策略中使用
aws:CalledViaLast条件。 -
将策略应用于源队列和 DLQ
-
保持 VPC 限制,以便从其他来源直接访问
以下是实现了这些要求的策略示例:
-
请将占位符值替换为实际的值
-
此策略使用带条件的“拒绝”语句,这比使用“允许”语句更安全
-
StringNotEqualsIfExists运算符负责处理请求上下文中可能不存在条件键的情况。
或者,您也可以使用 aws:ViaAWSService 条件键允许基于服务的访问,同时保持 VPC 限制。此条件键表示请求是否来自 Amazon 服务。以下是使用 aws:ViaAWSService 方法代替 aws:CalledViaLast 的策略示例:
带 aws:ViaAWSService 条件的 BoolIfExists 运算符可确保允许来自服务的请求,同时保持 VPC 限制以便直接访问。这可能更易于理解和维护,因为它直接检查请求是否由 Amazon 服务发出,而不是检查上一次调用是由哪项服务发出的。
有关 IAM 和资源策略中使用的条件键的更多信息,请参阅“IAM JSON 策略元素:条件”。