Cómo funciona la autenticación de IAM Limitaciones

Autenticación y autorización de IAM para Amazon MQ para RabbitMQ

Amazon MQ para RabbitMQ admite varios métodos de autenticación y autorización. Para obtener información sobre todos los métodos admitidos, consulte Autenticación y autorización de Amazon MQ para corredores de RabbitMQ.

La autenticación y la autorización de IAM permiten a los usuarios de los corredores autenticarse con credenciales de IAM a través de la federación saliente de AWS IAM. En este método, las credenciales de IAM se utilizan para obtener los tokens JWT del AWS Security Token Service (STS). Estos tokens JWT sirven como tokens OAuth 2.0 para la autenticación y aprovechan la compatibilidad OAuth 2.0 existente en Amazon MQ para RabbitMQ, AWS donde actúa como proveedor de identidad 2.0. OAuth AWS IAM gestiona la autenticación de los usuarios, mientras que los permisos de recursos para los hosts virtuales, las bolsas, las colas y los temas se gestionan mediante las políticas de IAM y los alias de ámbito configurados en RabbitMQ.

Consideraciones importantes

La autenticación de IAM es compatible con las versiones 3.13, 4.2 y posteriores de RabbitMQ. No es compatible con Amazon MQ para agentes de ActiveMQ.
La autenticación de IAM requiere que la federación saliente de IAM esté configurada y disponible en su cuenta. AWS
Este método se basa en la infraestructura OAuth 2.0 existente en Amazon MQ para RabbitMQ y AWS actúa como proveedor de identidad 2.0. OAuth
Amazon MQ crea automáticamente un usuario del sistema llamado monitoring-AWS-OWNED-DO-NOT-DELETE con permisos de solo supervisión. Este usuario utiliza el sistema de autenticación interno de RabbitMQ incluso en los corredores con IAM y está restringido únicamente al acceso a la interfaz de bucle invertido.

Cómo funciona la autenticación de IAM

La autenticación de IAM para Amazon MQ para RabbitMQ utiliza la federación saliente de IAM para AWS permitir que las credenciales de IAM se autentiquen con los agentes de RabbitMQ. Las credenciales de IAM se utilizan para obtener los tokens JWT del AWS Security Token Service (STS), y estos tokens JWT sirven como tokens 2.0 para la autenticación con el bróker RabbitMQ. OAuth

Limitaciones

La autenticación de IAM para Amazon MQ para RabbitMQ tiene la siguiente limitación:

Configuración de la notificación de alcance: no puede usar una notificación de alcance directamente porque el token JWT de STS está anidado. La clave es sts.amazonaws.com que requiere el uso de alias de ámbito en la configuración de RabbitMQ para asignar las funciones de IAM a los permisos de RabbitMQ. Esta limitación también impide utilizar plenamente las políticas de IAM para la autorización y, en su lugar, requiere la configuración de RabbitMQ para la autorización.

Para obtener información sobre cómo configurar la autenticación y la autorización de IAM para sus agentes de Amazon MQ for RabbitMQ, consulte. Uso de la autenticación y la autorización de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

OAuth Autenticación y autorización 2.0

Autenticación y autorización HTTP