Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación y autorización LDAP para Amazon MQ para RabbitMQ
Amazon MQ para RabbitMQ admite la autenticación y la autorización de los usuarios de corredores mediante un servidor LDAP externo. Para ver otros métodos compatibles, consulte Autenticación y autorización de Amazon MQ para corredores de RabbitMQ.
Consideraciones importantes
-
El servidor LDAP debe ser accesible a través de la Internet pública. Amazon MQ para RabbitMQ se puede configurar para autenticarse en el servidor LDAP mediante TLS mutuo.
-
Amazon MQ para RabbitMQ impone el uso de configuraciones de LDAP confidenciales, como contraseñas, y AWS ARNs para configuraciones que requieren acceso al sistema de archivos local. Consulte la compatibilidad con ARN en la configuración de RabbitMQ para obtener más detalles.
-
Debe incluir el permiso de IAM para habilitar LDAP en
mq:UpdateBrokerAccessConfigurationlos corredores existentes. -
Amazon MQ crea automáticamente un usuario del sistema llamado
monitoring-AWS-OWNED-DO-NOT-DELETEcon permisos de solo supervisión. Este usuario utiliza el sistema de autenticación interno de RabbitMQ incluso en corredores con LDAP y está restringido únicamente al acceso a la interfaz de bucle invertido. Amazon MQ impide la eliminación de este usuario añadiendo la etiqueta de usuario protegido.
Para obtener información sobre cómo configurar LDAP para sus corredores de Amazon MQ para RabbitMQ, consulte. Uso de la autenticación y la autorización de LDAP
En esta página
Configuraciones LDAP compatibles
Amazon MQ para RabbitMQ admite todas las variables configurables del complemento LDAP RabbitMQ
Configuraciones que requieren ARNs
auth_ldap.dn_lookup_bind.password-
En su lugar, use
aws.arns.auth_ldap.dn_lookup_bind.password auth_ldap.other_bind.password-
En su lugar, use
aws.arns.auth_ldap.other_bind.password auth_ldap.ssl_options.cacertfile-
En su lugar, use
aws.arns.auth_ldap.ssl_options.cacertfile auth_ldap.ssl_options.certfile-
En su lugar, use
aws.arns.auth_ldap.ssl_options.certfile auth_ldap.ssl_options.keyfile-
En su lugar, use
aws.arns.auth_ldap.ssl_options.keyfile
Opciones de SSL no compatibles
Tampoco se admiten las siguientes opciones de configuración de SSL:
-
auth_ldap.ssl_options.cert -
auth_ldap.ssl_options.client_renegotiation -
auth_ldap.ssl_options.dh -
auth_ldap.ssl_options.dhfile -
auth_ldap.ssl_options.honor_cipher_order -
auth_ldap.ssl_options.honor_ecc_order -
auth_ldap.ssl_options.key.RSAPrivateKey -
auth_ldap.ssl_options.key.DSAPrivateKey -
auth_ldap.ssl_options.key.PrivateKeyInfo -
auth_ldap.ssl_options.log_alert -
auth_ldap.ssl_options.password -
auth_ldap.ssl_options.psk_identity -
auth_ldap.ssl_options.reuse_sessions -
auth_ldap.ssl_options.secure_renegotiate -
auth_ldap.ssl_options.versions.$version -
auth_ldap.ssl_options.sni
Validaciones adicionales para configuraciones de LDAP en Amazon MQ
Amazon MQ también aplica las siguientes validaciones adicionales para la autenticación y la autorización de LDAP:
-
auth_ldap.logno se puede configurar ennetwork_unsafe -
El servidor LDAP debe usar LDAPS.
auth_ldap.use_sslO bienauth_ldap.use_starttlsdebe estar activado de forma explícita -
Si alguna configuración requiere el uso de un AWS ARN,
aws.arns.assume_role_arndebe proporcionarse. -
auth_ldap.serversdebe ser una dirección IP válida o un FQDN válido -
Las siguientes claves deben ser un nombre distintivo LDAP válido:
-
auth_ldap.dn_lookup_base -
auth_ldap.dn_lookup_bind.user_dn -
auth_ldap.other_bind.user_dn -
auth_ldap.group_lookup_base
-
