IAM-Authentifizierung und Autorisierung für Amazon MQ for RabbitMQ - Amazon MQ
Wie funktioniert die IAM-AuthentifizierungEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Authentifizierung und Autorisierung für Amazon MQ for RabbitMQ

Amazon MQ for RabbitMQ unterstützt mehrere Authentifizierungs- und Autorisierungsmethoden. Informationen zu allen unterstützten Methoden finden Sie unter Authentifizierung und Autorisierung für Amazon MQ für RabbitMQ-Broker.

Die IAM-Authentifizierung und -Autorisierung ermöglicht Broker-Benutzern die Authentifizierung mithilfe von IAM-Anmeldeinformationen über den AWS IAM-Outbound-Federation. Bei dieser Methode werden IAM-Anmeldeinformationen verwendet, um JWT-Token vom AWS Security Token Service (STS) abzurufen. Diese JWT-Token dienen als OAuth 2.0-Token für die Authentifizierung und nutzen die bestehende OAuth 2.0-Unterstützung in Amazon MQ für RabbitMQ, wo sie als 2.0-Identitätsanbieter AWS fungiert. OAuth AWS IAM kümmert sich um die Benutzerauthentifizierung, während die Ressourcenberechtigungen für virtuelle Hosts, Exchanges, Warteschlangen und Themen über IAM-Richtlinien und Bereichsaliase verwaltet werden, die in RabbitMQ konfiguriert sind.

Wichtige Überlegungen

  • Die IAM-Authentifizierung wird auf den RabbitMQ-Versionen 3.13, 4.2 und höher unterstützt. Es wird auf Amazon MQ für ActiveMQ-Broker nicht unterstützt.

  • Für die IAM-Authentifizierung muss der ausgehende IAM-Verbund konfiguriert sein und in Ihrem Konto verfügbar sein. AWS

  • Diese Methode baut auf der vorhandenen OAuth 2.0-Infrastruktur in Amazon MQ für RabbitMQ auf und AWS dient als 2.0-Identitätsanbieter. OAuth

  • Amazon MQ erstellt automatisch einen Systembenutzer monitoring-AWS-OWNED-DO-NOT-DELETE mit nur Überwachungsberechtigungen. Dieser Benutzer verwendet das interne Authentifizierungssystem von RabbitMQ auch bei IAM-fähigen Brokern und ist auf den Zugriff auf die Loopback-Schnittstelle beschränkt.

Wie funktioniert die IAM-Authentifizierung

Die IAM-Authentifizierung für Amazon MQ for RabbitMQ verwendet den IAM-Outbound-Verbund, um IAM-Anmeldeinformationen für die Authentifizierung bei RabbitMQ-Brokern zu aktivieren AWS . IAM-Anmeldeinformationen werden verwendet, um JWT-Token vom AWS Security Token Service (STS) zu erhalten, und diese JWT-Token dienen als 2.0-Token für die Authentifizierung beim RabbitMQ-Broker. OAuth

Einschränkungen

Die IAM-Authentifizierung für Amazon MQ for RabbitMQ hat die folgende Einschränkung:

  • Konfiguration von Bereichsansprüchen — Sie können einen Bereichsanspruch nicht direkt verwenden, da das JWT-Token von STS verschachtelt ist. Der Schlüssel iststs.amazonaws.com, dass die Verwendung von Bereichsaliasen in der RabbitMQ-Konfiguration erforderlich ist, um IAM-Rollen RabbitMQ-Berechtigungen zuzuordnen. Diese Einschränkung verhindert auch, dass IAM-Richtlinien für die Autorisierung vollständig verwendet werden, sodass stattdessen eine RabbitMQ-Konfiguration für die Autorisierung erforderlich ist.

Informationen zur Konfiguration der IAM-Authentifizierung und -Autorisierung für Ihre Amazon MQ for RabbitMQ-Broker finden Sie unter. Verwendung der IAM-Authentifizierung und -Autorisierung