View a markdown version of this page

Autenticazione e autorizzazione IAM per Amazon MQ for RabbitMQ - Amazon MQ
Come funziona l'autenticazione IAMLimitazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione e autorizzazione IAM per Amazon MQ for RabbitMQ

Amazon MQ for RabbitMQ supporta diversi metodi di autenticazione e autorizzazione. Per informazioni su tutti i metodi supportati, consulta Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ.

L'autenticazione e l'autorizzazione IAM consentono agli utenti del broker di autenticarsi utilizzando le credenziali AWS IAM tramite la federazione in uscita IAM. In questo metodo, le credenziali IAM vengono utilizzate per ottenere token JWT da AWS Security Token Service (STS). Questi token JWT fungono da token OAuth 2.0 per l'autenticazione, sfruttando il supporto OAuth 2.0 esistente in Amazon MQ for RabbitMQ, che AWS funge da provider di identità 2.0. OAuth AWS IAM gestisce l'autenticazione degli utenti, mentre le autorizzazioni delle risorse per host virtuali, scambi, code e argomenti sono gestite tramite policy IAM e alias di ambito configurati in RabbitMQ.

Considerazioni importanti

  • L'autenticazione IAM è supportata nelle versioni 3.13, 4.2 e successive di RabbitMQ. Non è supportato sui broker Amazon MQ for ActiveMQ.

  • L'autenticazione IAM richiede che la federazione IAM in uscita sia configurata e disponibile nel tuo account. AWS

  • Questo metodo si basa sull'infrastruttura OAuth 2.0 esistente in Amazon MQ for RabbitMQ e AWS funge da provider di identità OAuth 2.0.

  • Amazon MQ crea automaticamente un utente di sistema denominato monitoring-AWS-OWNED-DO-NOT-DELETE con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati all'IAM ed è limitato al solo accesso all'interfaccia di loopback.

Come funziona l'autenticazione IAM

L'autenticazione IAM per Amazon MQ for RabbitMQ utilizza la federazione IAM in uscita per consentire alle credenziali AWS IAM di autenticarsi con i broker RabbitMQ. Le credenziali IAM vengono utilizzate per ottenere i token JWT dal AWS Security Token Service (STS) e questi token JWT fungono da token 2.0 per l'autenticazione con il broker RabbitMQ. OAuth

Limitazioni

L'autenticazione IAM per Amazon MQ for RabbitMQ presenta le seguenti limitazioni:

  • Configurazione dell'attestazione dell'ambito: non è possibile utilizzare direttamente un'attestazione di ambito perché il token JWT di STS è annidato. La chiave è sts.amazonaws.com che richiede l'utilizzo di alias di ambito nella configurazione di RabbitMQ per mappare i ruoli IAM alle autorizzazioni di RabbitMQ. Questa limitazione impedisce inoltre di utilizzare completamente le policy IAM per l'autorizzazione, richiedendo invece la configurazione di RabbitMQ per l'autorizzazione.

Per informazioni su come configurare l'autenticazione e l'autorizzazione IAM per i broker Amazon MQ for RabbitMQ, consulta. Utilizzo dell'autenticazione e dell'autorizzazione IAM