Comment fonctionne l'authentification IAM Limitations

Authentification et autorisation IAM pour Amazon MQ pour RabbitMQ

Amazon MQ pour RabbitMQ prend en charge plusieurs méthodes d'authentification et d'autorisation. Pour plus d'informations sur toutes les méthodes prises en charge, consultez Authentification et autorisation pour Amazon MQ pour les courtiers RabbitMQ.

L'authentification et l'autorisation IAM permettent aux utilisateurs du broker de s'authentifier à l'aide des informations d'identification AWS IAM via la fédération sortante IAM. Dans cette méthode, les informations d'identification IAM sont utilisées pour obtenir des jetons JWT auprès du AWS Security Token Service (STS). Ces jetons JWT servent de jetons OAuth 2.0 pour l'authentification, en tirant parti du support OAuth 2.0 existant dans Amazon MQ pour RabbitMQ, qui agit en tant que fournisseur d' AWS identité 2.0. OAuth AWS IAM gère l'authentification des utilisateurs, tandis que les autorisations de ressources pour les hôtes virtuels, les échanges, les files d'attente et les sujets sont gérées via des politiques IAM et des alias de portée configurés dans RabbitMQ.

Considérations importantes

L'authentification IAM est prise en charge sur les versions 3.13, 4.2 et supérieures de RabbitMQ. Il n'est pas pris en charge sur Amazon MQ pour les courtiers ActiveMQ.
L'authentification IAM nécessite que la fédération sortante IAM soit configurée et disponible dans votre compte. AWS
Cette méthode s'appuie sur l'infrastructure OAuth 2.0 existante d'Amazon MQ pour RabbitMQ, en AWS servant de fournisseur d'identité 2.0. OAuth
Amazon MQ crée automatiquement un utilisateur du système nommé monitoring-AWS-OWNED-DO-NOT-DELETE avec des autorisations de surveillance uniquement. Cet utilisateur utilise le système d'authentification interne de RabbitMQ, même sur les courtiers compatibles IAM, et est limité à l'accès à l'interface de bouclage uniquement.

Sur cette page

Comment fonctionne l'authentification IAM
Limitations

Comment fonctionne l'authentification IAM

L'authentification IAM pour Amazon MQ pour RabbitMQ utilise la fédération sortante IAM pour AWS permettre aux informations d'identification IAM de s'authentifier auprès des courtiers RabbitMQ. Les informations d'identification IAM sont utilisées pour obtenir des jetons JWT auprès du AWS Security Token Service (STS), et ces jetons JWT servent de jetons OAuth 2.0 pour l'authentification auprès du courtier RabbitMQ.

Limitations

L'authentification IAM pour Amazon MQ pour RabbitMQ présente les limites suivantes :

Configuration de la réclamation de portée — Vous ne pouvez pas utiliser une revendication de portée directement car le jeton JWT de STS est imbriqué. L'essentiel est d'utiliser sts.amazonaws.com des alias de scope dans la configuration de RabbitMQ pour mapper les rôles IAM aux autorisations RabbitMQ. Cette limitation empêche également l'utilisation complète des politiques IAM pour l'autorisation, nécessitant plutôt la configuration de RabbitMQ pour l'autorisation.

Pour plus d'informations sur la configuration de l'authentification et de l'autorisation IAM pour vos courtiers Amazon MQ pour RabbitMQ, consultez. Utilisation de l'authentification et de l'autorisation IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

OAuth Authentification et autorisation 2.0

Authentification et autorisation HTTP