Otentikasi dan otorisasi LDAP untuk Amazon MQ untuk RabbitMQ - Amazon MQ
Konfigurasi LDAP yang didukungValidasi tambahan untuk konfigurasi LDAP di Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi dan otorisasi LDAP untuk Amazon MQ untuk RabbitMQ

Amazon MQ untuk RabbitMQ mendukung otentikasi dan otorisasi pengguna broker menggunakan server LDAP eksternal. Untuk metode lain yang didukung, lihat Otentikasi dan otorisasi untuk Amazon MQ untuk broker RabbitMQ.

Pertimbangan penting

  • Server LDAP harus dapat diakses melalui internet publik. Amazon MQ untuk RabbitMQ dapat dikonfigurasi untuk mengautentikasi ke server LDAP menggunakan TLS timbal balik.

  • Amazon MQ untuk RabbitMQ memberlakukan penggunaan AWS ARNs untuk pengaturan LDAP sensitif seperti kata sandi dan untuk pengaturan yang memerlukan akses ke sistem file lokal. Lihat dukungan ARN dalam konfigurasi RabbitMQ untuk detail selengkapnya.

  • Anda harus menyertakan izin IAM,mq:UpdateBrokerAccessConfiguration, untuk mengaktifkan LDAP pada broker yang ada.

  • Amazon MQ secara otomatis membuat pengguna sistem bernama monitoring-AWS-OWNED-DO-NOT-DELETE dengan izin pemantauan saja. Pengguna ini menggunakan sistem otentikasi internal RabbitMQ bahkan pada broker yang mendukung LDAP dan dibatasi hanya untuk akses antarmuka loopback. Amazon MQ mencegah penghapusan pengguna ini dengan menambahkan tag pengguna yang dilindungi.

Untuk informasi tentang cara mengkonfigurasi LDAP untuk Amazon MQ Anda untuk broker RabbitMQ, lihat. Menggunakan otentikasi dan otorisasi LDAP

Konfigurasi LDAP yang didukung

Amazon MQ untuk RabbitMQ mendukung semua variabel yang dapat dikonfigurasi di plugin RabbitMQ LDAP, dengan pengecualian berikut yang memerlukan. AWS ARNs Untuk detail tentang dukungan ARN, lihat dukungan ARN dalam konfigurasi RabbitMQ.

Konfigurasi yang membutuhkan ARNs

auth_ldap.dn_lookup_bind.password

Gunakan aws.arns.auth_ldap.dn_lookup_bind.password sebagai gantinya

auth_ldap.other_bind.password

Gunakan aws.arns.auth_ldap.other_bind.password sebagai gantinya

auth_ldap.ssl_options.cacertfile

Gunakan aws.arns.auth_ldap.ssl_options.cacertfile sebagai gantinya

auth_ldap.ssl_options.certfile

Gunakan aws.arns.auth_ldap.ssl_options.certfile sebagai gantinya

auth_ldap.ssl_options.keyfile

Gunakan aws.arns.auth_ldap.ssl_options.keyfile sebagai gantinya

Opsi SSL yang tidak didukung

Opsi konfigurasi SSL berikut juga tidak didukung:

  • auth_ldap.ssl_options.cert

  • auth_ldap.ssl_options.client_renegotiation

  • auth_ldap.ssl_options.dh

  • auth_ldap.ssl_options.dhfile

  • auth_ldap.ssl_options.honor_cipher_order

  • auth_ldap.ssl_options.honor_ecc_order

  • auth_ldap.ssl_options.key.RSAPrivateKey

  • auth_ldap.ssl_options.key.DSAPrivateKey

  • auth_ldap.ssl_options.key.PrivateKeyInfo

  • auth_ldap.ssl_options.log_alert

  • auth_ldap.ssl_options.password

  • auth_ldap.ssl_options.psk_identity

  • auth_ldap.ssl_options.reuse_sessions

  • auth_ldap.ssl_options.secure_renegotiate

  • auth_ldap.ssl_options.versions.$version

  • auth_ldap.ssl_options.sni

Validasi tambahan untuk konfigurasi LDAP di Amazon MQ

Amazon MQ juga memberlakukan validasi tambahan berikut untuk otentikasi dan otorisasi LDAP:

  • auth_ldap.logtidak dapat diatur ke network_unsafe

  • Server LDAP harus menggunakan LDAPS. Entah auth_ldap.use_ssl atau auth_ldap.use_starttls harus diaktifkan secara eksplisit

  • Jika pengaturan apapun memerlukan penggunaan AWS ARN, aws.arns.assume_role_arn harus disediakan.

  • auth_ldap.serversharus berupa alamat IP yang valid atau FQDN yang valid

  • Kunci berikut harus berupa Nama Distinguished LDAP yang valid:

    • auth_ldap.dn_lookup_base

    • auth_ldap.dn_lookup_bind.user_dn

    • auth_ldap.other_bind.user_dn

    • auth_ldap.group_lookup_base