Otentikasi dan otorisasi IAM untuk Amazon MQ untuk RabbitMQ - Amazon MQ
Cara kerja otentikasi IAMBatasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi dan otorisasi IAM untuk Amazon MQ untuk RabbitMQ

Amazon MQ untuk RabbitMQ mendukung beberapa metode otentikasi dan otorisasi. Untuk informasi tentang semua metode yang didukung, lihat Otentikasi dan otorisasi Amazon MQ untuk broker RabbitMQ.

Otentikasi dan otorisasi IAM memungkinkan pengguna broker untuk mengautentikasi menggunakan kredensi IAM melalui federasi AWS keluar IAM. Dalam metode ini, kredensi IAM digunakan untuk mendapatkan token JWT dari AWS Security Token Service (STS). Token JWT ini berfungsi sebagai token OAuth 2.0 untuk otentikasi, memanfaatkan dukungan 2.0 yang ada di Amazon MQ untuk RabbitMQ di mana bertindak sebagai penyedia identitas OAuth 2.0. AWS OAuth AWS IAM menangani otentikasi pengguna, sementara izin sumber daya untuk host virtual, pertukaran, antrian, dan topik dikelola melalui kebijakan IAM dan alias lingkup yang dikonfigurasi di RabbitMQ.

Pertimbangan penting

  • Autentikasi IAM didukung pada RabbitMQ versi 3.13, 4.2 dan di atasnya. Itu tidak didukung di Amazon MQ untuk broker ActiveMQ.

  • Autentikasi IAM mengharuskan federasi keluar IAM untuk dikonfigurasi dan tersedia di akun Anda. AWS

  • Metode ini dibangun di atas infrastruktur OAuth 2.0 yang ada di Amazon MQ untuk RabbitMQ, AWS dengan berfungsi sebagai penyedia identitas 2.0. OAuth

  • Amazon MQ secara otomatis membuat pengguna sistem bernama monitoring-AWS-OWNED-DO-NOT-DELETE dengan izin pemantauan saja. Pengguna ini menggunakan sistem otentikasi internal RabbitMQ bahkan pada broker yang mendukung IAM dan dibatasi hanya untuk akses antarmuka loopback.

Cara kerja otentikasi IAM

Otentikasi IAM untuk Amazon MQ untuk RabbitMQ menggunakan federasi keluar IAM untuk mengaktifkan kredensi IAM untuk mengautentikasi dengan broker RabbitMQ. AWS Kredensi IAM digunakan untuk mendapatkan token JWT dari AWS Security Token Service (STS), dan token JWT ini berfungsi sebagai token OAuth 2.0 untuk otentikasi dengan broker RabbitMQ.

Batasan

Autentikasi IAM untuk Amazon MQ untuk RabbitMQ memiliki batasan sebagai berikut:

  • Konfigurasi klaim cakupan — Anda tidak dapat menggunakan klaim cakupan secara langsung karena token JWT dari STS bersarang. Kuncinya adalahsts.amazonaws.com, yang mengharuskan penggunaan alias lingkup dalam konfigurasi RabbitMQ untuk memetakan peran IAM ke izin RabbitMQ. Batasan ini juga mencegah penggunaan kebijakan IAM untuk otorisasi sepenuhnya, memerlukan konfigurasi RabbitMQ untuk otorisasi sebagai gantinya.

Untuk informasi tentang cara mengonfigurasi autentikasi dan otorisasi IAM untuk Amazon MQ Anda untuk broker RabbitMQ, lihat. Menggunakan otentikasi dan otorisasi IAM