Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autenticazione e autorizzazione Amazon MQ per RabbitMQ
Amazon MQ for RabbitMQ supporta i seguenti metodi di autenticazione e autorizzazione:
## Autenticazione e autorizzazione semplici
Con questo metodo, gli utenti del broker vengono archiviati internamente nel broker RabbitMQ e gestiti tramite la console web o l'API di gestione. Le autorizzazioni per vhost, exchange, code e topic sono configurate direttamente in RabbitMQ. Questo è il metodo predefinito. Per ulteriori informazioni, vedere [Autenticazione e autorizzazione semplici](rabbitmq-simple-auth-broker-users.md).
## OAuth Autenticazione e autorizzazione 2.0
In questo metodo, gli utenti del broker e le relative autorizzazioni sono gestiti da un provider di identità OAuth 2.0 (IdP) esterno. L'autenticazione degli utenti e le autorizzazioni alle risorse per vhost, exchange, code e argomenti sono centralizzate tramite il sistema di ambito del OAuth provider 2.0. Ciò semplifica la gestione degli utenti e consente l'integrazione con i sistemi di identità esistenti. Per ulteriori informazioni, vedere [Autenticazione e autorizzazione OAuth 2.0](oauth-for-amq-for-rabbitmq.md).
## Autenticazione e autorizzazione IAM
Con questo metodo, gli utenti del broker si autenticano utilizzando le credenziali AWS IAM tramite la federazione in [uscita IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html). Le credenziali IAM vengono utilizzate per ottenere i token JWT da AWS Security Token Service (STS) e questi token JWT fungono da token 2.0 per l'autenticazione. OAuth Questo metodo sfrutta il supporto OAuth 2.0 esistente in Amazon MQ for RabbitMQ, dove AWS funge da provider di identità OAuth 2.0. L'autenticazione degli utenti è gestita da AWS IAM, mentre le autorizzazioni delle risorse per vhost, exchange, code e argomenti sono gestite tramite policy IAM e alias di ambito configurati in RabbitMQ. [Per ulteriori informazioni, consulta Autenticazione e autorizzazione IAM.](iam-for-amq-for-rabbitmq.md)
## Autenticazione e autorizzazione LDAP
In questo metodo, gli utenti del broker e le relative autorizzazioni sono gestiti da un servizio di directory LDAP esterno. L'autenticazione degli utenti e le autorizzazioni delle risorse sono centralizzate tramite il server LDAP, che consente agli utenti di accedere a RabbitMQ utilizzando le credenziali del servizio di directory esistenti. [Per ulteriori informazioni, vedere Autenticazione e autorizzazione LDAP.](ldap-for-amq-for-rabbitmq.md)
## Autenticazione e autorizzazione HTTP
In questo metodo, gli utenti del broker e le relative autorizzazioni sono gestiti da un server HTTP esterno. L'autenticazione degli utenti e le autorizzazioni delle risorse sono centralizzate tramite il server HTTP, che consente agli utenti di accedere a RabbitMQ utilizzando il proprio provider di autenticazione e autorizzazione. Per ulteriori informazioni su questo metodo, consulta Autenticazione e autorizzazione [HTTP](http-for-amq-for-rabbitmq.md).
## Autenticazione con certificato SSL
Amazon MQ supporta TLS reciproco (mTLS) per i broker RabbitMQ. Il plug-in di autenticazione SSL utilizza i certificati client delle connessioni MTLS per autenticare gli utenti. Con questo metodo, gli utenti del broker vengono autenticati utilizzando certificati client X.509 anziché credenziali di nome utente e password. Il certificato del client viene convalidato rispetto a un'autorità di certificazione (CA) affidabile e il nome utente viene estratto da un campo del certificato, ad esempio Common Name (CN) o Subject Alternative Name (SAN). Questo metodo fornisce un'autenticazione avanzata senza trasmettere credenziali sulla rete. Per ulteriori informazioni, consulta Autenticazione con [certificato SSL.](ssl-for-amq-for-rabbitmq.md)
**Nota**
RabbitMQ supporta più metodi di autenticazione e autorizzazione da utilizzare contemporaneamente. Ad esempio, è possibile abilitare sia l'autenticazione OAuth 2.0 che quella semplice (interna). Per ulteriori informazioni, consulta la sezione del tutorial OAuth 2.0 sull'[abilitazione dell'autenticazione OAuth 2.0 e semplice (interna)](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/oauth-tutorial.html#oauth-tutorial-config-both-auth-methods-using-cli) e la documentazione sul [controllo degli accessi di RabbitMQ](https://www.rabbitmq.com/docs/access-control).
Amazon MQ consiglia di creare un utente interno durante il test delle configurazioni di autenticazione. Ciò consente di convalidare la configurazione di accesso utilizzando l'API di gestione RabbitMQ. [Per ulteriori informazioni, vedere Convalida dell'accesso.](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/arn-support-rabbitmq-configuration.html#access-validation)
# Autenticazione e autorizzazione semplici
## Amazon MQ per gli utenti del broker RabbitMQ
**Nota**
Questo argomento descrive la gestione degli utenti del broker con il meccanismo di autenticazione e autorizzazione interno predefinito di RabbitMQ. Per informazioni su tutti i metodi di autenticazione e autorizzazione supportati, consulta [Amazon MQ for RabbitMQ Authentication and Authorization](rabbitmq-authentication.md).
A ogni connessione client AMQP 0-9-1 è associato un utente. Questo utente deve essere autenticato. Ogni connessione client ha come destinazione anche un host virtuale (vhost). L'utente deve disporre di una serie di autorizzazioni per questo vhost. Un utente può avere l'autorizzazione per **configurare**, **scrivere** e **leggere** da code e scambi in un vhost. Si specificano le credenziali dell'utente e il vhost di destinazione quando viene stabilita la connessione.
Quando crei per la prima volta un broker Amazon MQ for RabbitMQ, Amazon MQ utilizza le credenziali di accesso per creare un utente RabbitMQ con il tag `administrator`. È quindi possibile aggiungere e gestire gli utenti tramite l'[API di gestione](https://www.rabbitmq.com/management.html) RabbitMQ o la console Web RabbitMQ. È inoltre possibile utilizzare la console Web RabbitMQ o l'API di gestione per impostare o modificare le autorizzazioni dell'utente e i tag.
**Nota**
Gli utenti di RabbitMQ non verranno memorizzati o visualizzati tramite l'API [utenti](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/brokers-broker-id-users.html) Amazon MQ.
**Importante**
Amazon MQ for RabbitMQ non supporta il nome utente «guest» ed eliminerà l'account ospite predefinito quando crei un nuovo broker. Amazon MQ eliminerà inoltre periodicamente qualsiasi account creato dal cliente chiamato «ospite».
Per creare un nuovo utente con l'API di gestione RabbitMQ, utilizzare il seguente endpoint API e corpo della richiesta. Sostituisci *username* e *password* con le tue nuove credenziali di accesso.
```
PUT /api/users/username HTTP/1.1
{"password":"password","tags":"administrator"}
```
**Importante**
Non aggiungere informazioni personali di identificazione (PII) o altre informazioni riservate o sensibili nei nomi utente dei broker. I nomi utente dei broker sono accessibili ad altri AWS servizi, inclusi i registri. CloudWatch I nomi utenti dei broker non sono destinati ad essere utilizzati per dati privati o sensibili.
Se perdi l'accesso a tutti gli account di amministratore, consulta [Ripristino dell'accesso al broker](troubleshooting-rabbitmq.md#rabbitmq-broker-recovery) per utilizzare l'autenticazione IAM per il ripristino.
La chiave `tags` è obbligatoria ed è un elenco separato da virgole di tag per l'utente. Amazon MQ supporta i tag utente `administrator`, `management`, `monitoring` e `policymaker`.
È possibile impostare le autorizzazioni per un singolo utente utilizzando i seguenti endpoint API e corpo della richiesta. Sostituisci *vhost* e *username* con le tue informazioni. Per il vhost predefinito `/`, utilizzare `%2F`.
```
PUT /api/permissions/vhost/username HTTP/1.1
{"configure":".*","write":".*","read":".*"}
```
**Nota**
Le chiavi `configure`, `read` e `write` sono tutte obbligatorie.
Utilizzando il carattere jolly `.*`, questa operazione concede all'utente le autorizzazioni di lettura, scrittura e configurazione per tutte le code nel vhost specificato. Per ulteriori informazioni sulla gestione degli utenti tramite l'API di gestione RabbitMQ, consultare [API HTTP di gestione di RabbitMQ](https://rawcdn.githack.com/rabbitmq/rabbitmq-server/main/deps/rabbitmq_management/priv/www/api/index.html).
# OAuth autenticazione e autorizzazione 2.0 per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta diversi metodi di autenticazione e autorizzazione. Per informazioni su tutti i metodi supportati, consulta [Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ](rabbitmq-authentication.md).
Nell'autenticazione e autorizzazione OAuth 2.0, gli utenti del broker e le relative autorizzazioni sono gestiti da un provider di identità OAuth 2.0 esterno (IdP). L'autenticazione degli utenti e le autorizzazioni alle risorse per vhost, exchange, code e topic sono centralizzate tramite il sistema di ambito del OAuth provider 2.0. Ciò semplifica la gestione degli utenti e consente l'integrazione con i sistemi di identità esistenti.
**Considerazioni importanti**
OAuth L'integrazione 2.0 non è supportata sui broker Amazon MQ for ActiveMQ.
Amazon MQ for RabbitMQ non supporta il certificato server emesso da una CA privata.
Il plug-in RabbitMQ OAuth 2.0 non supporta gli endpoint di introspezione dei token e i token di accesso opachi. Inoltre, non esegue controlli di revoca dei token.
È necessario includere l'autorizzazione IAM per abilitare `mq:UpdateBrokerAccessConfiguration` la OAuth versione 2.0 sui broker esistenti.
Amazon MQ crea automaticamente un utente di sistema denominato `monitoring-AWS-OWNED-DO-NOT-DELETE` con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker OAuth abilitati alla versione 2.0 ed è limitato al solo accesso all'interfaccia di loopback.
Per informazioni su come configurare OAuth 2.0 per i broker Amazon MQ for RabbitMQ, consulta. [Utilizzo dell'autenticazione e dell'autorizzazione OAuth 2.0](oauth-tutorial.md)
**Topics**
+ [Configurazioni 2.0 supportate OAuth](#oauth-tutorial-supported-configs)
+ [Validazioni aggiuntive per l'autenticazione 2.0 OAuth](#oauth-tutorial-additional-validations)
## Configurazioni 2.0 supportate OAuth
Amazon MQ for RabbitMQ supporta tutte le [variabili configurabili](https://www.rabbitmq.com/docs/oauth2#variables-configurable) nel plug-in RabbitMQ OAuth 2.0, con le seguenti eccezioni:
+ `auth_oauth2.https.cacertfile`
+ `auth_oauth2.oauth_providers.{id/index}.https.cacertfile`
+ `management.oauth_client_secret`
Poiché Amazon MQ non supporta questa chiave, non supportiamo UAA come IdP.
+ `management.oauth_resource_servers.{id/index}.oauth_client_secret`
+ `auth_oauth2.signing_keys.{id/index}`
## Validazioni aggiuntive per l'autenticazione 2.0 OAuth
Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione OAuth 2.0:
+ Tutto URLs deve iniziare con. `https://`
+ Algoritmi di firma supportati: `Ed25519` `Ed25519ph``Ed448`,`Ed448ph`,`EdDSA`,`ES256K`,,`ES256`,`ES384`,`ES512`,`HS256`,`HS384`,`HS512`,`PS256`,`PS384`,`PS512`, `RS256``RS384`, e`RS512`.
# Autenticazione e autorizzazione IAM per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta diversi metodi di autenticazione e autorizzazione. Per informazioni su tutti i metodi supportati, consulta [Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ](rabbitmq-authentication.md).
[L'autenticazione e l'autorizzazione IAM consentono agli utenti del broker di autenticarsi utilizzando le credenziali AWS IAM tramite la federazione in uscita IAM.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) In questo metodo, le credenziali IAM vengono utilizzate per ottenere token JWT da AWS Security Token Service (STS). Questi token JWT fungono da token OAuth 2.0 per l'autenticazione, sfruttando il supporto OAuth 2.0 esistente in Amazon MQ for RabbitMQ, che AWS funge da provider di identità 2.0. OAuth AWS IAM gestisce l'autenticazione degli utenti, mentre le autorizzazioni delle risorse per host virtuali, scambi, code e argomenti sono gestite tramite policy IAM e alias di ambito configurati in RabbitMQ.
**Considerazioni importanti**
L'autenticazione IAM è supportata nelle versioni 3.13, 4.2 e successive di RabbitMQ. Non è supportato sui broker Amazon MQ for ActiveMQ.
L'autenticazione IAM richiede che la federazione IAM in uscita sia configurata e disponibile nel tuo account. AWS
Questo metodo si basa sull'infrastruttura OAuth 2.0 esistente in Amazon MQ for RabbitMQ e AWS funge da provider di identità OAuth 2.0.
Amazon MQ crea automaticamente un utente di sistema denominato `monitoring-AWS-OWNED-DO-NOT-DELETE` con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati all'IAM ed è limitato al solo accesso all'interfaccia di loopback.
**Topics**
+ [Come funziona l'autenticazione IAM](#iam-authentication-overview)
+ [Limitazioni](#iam-authentication-limitations)
## Come funziona l'autenticazione IAM
L'autenticazione IAM per Amazon MQ for RabbitMQ utilizza la [federazione IAM in uscita](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) per consentire alle credenziali AWS IAM di autenticarsi con i broker RabbitMQ. Le credenziali IAM vengono utilizzate per ottenere i token JWT dal AWS Security Token Service (STS) e questi token JWT fungono da token 2.0 per l'autenticazione con il broker RabbitMQ. OAuth
## Limitazioni
L'autenticazione IAM per Amazon MQ for RabbitMQ presenta le seguenti limitazioni:
+ **Configurazione dell'attestazione dell'ambito**: non è possibile utilizzare direttamente un'attestazione di ambito perché il token JWT di STS è annidato. La chiave è `sts.amazonaws.com` che richiede l'utilizzo di alias di ambito nella configurazione di RabbitMQ per mappare i ruoli IAM alle autorizzazioni di RabbitMQ. Questa limitazione impedisce inoltre di utilizzare completamente le policy IAM per l'autorizzazione, richiedendo invece la configurazione di RabbitMQ per l'autorizzazione.
Per informazioni su come configurare l'autenticazione e l'autorizzazione IAM per i broker Amazon MQ for RabbitMQ, consulta. [Utilizzo dell'autenticazione e dell'autorizzazione IAM](rabbitmq-iam-tutorial.md)
# Autenticazione e autorizzazione HTTP per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta l'autenticazione e l'autorizzazione degli utenti del broker utilizzando un server HTTP esterno. Per altri metodi supportati, consulta [Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ](rabbitmq-authentication.md).
**Nota**
Il plug-in di autenticazione HTTP è disponibile solo per Amazon MQ for RabbitMQ versione 4 e successive.
**Considerazioni importanti**
Il server HTTP deve essere accessibile tramite la rete Internet pubblica. Amazon MQ for RabbitMQ può essere configurato per l'autenticazione sul server HTTP utilizzando il protocollo TLS reciproco.
Amazon MQ for RabbitMQ impone l'uso di AWS ARNs per le impostazioni che richiedono l'accesso al file system locale. Vedi il [supporto ARN nella configurazione di RabbitMQ](arn-support-rabbitmq-configuration.md) per maggiori dettagli.
È necessario includere l'autorizzazione IAM per abilitare l'autenticazione HTTP sui broker esistenti. `mq:UpdateBrokerAccessConfiguration`
Amazon MQ crea automaticamente un utente di sistema denominato `monitoring-AWS-OWNED-DO-NOT-DELETE` con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati per HTTP ed è limitato al solo accesso all'interfaccia di loopback. Amazon MQ impedisce l'eliminazione di questo utente aggiungendo il [tag utente protetto](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3).
Per informazioni su come configurare l'autenticazione HTTP per i broker Amazon MQ for RabbitMQ, consulta. [Utilizzo dell'autenticazione e dell'autorizzazione HTTP](rabbitmq-http-tutorial.md)
**Topics**
+ [Configurazioni HTTP supportate](#http-supported-configs)
+ [Convalide aggiuntive per le configurazioni HTTP in Amazon MQ](#http-additional-validations)
## Configurazioni HTTP supportate
Amazon MQ for RabbitMQ supporta tutte le variabili configurabili nel [plug-in di autenticazione HTTP RabbitMQ](https://github.com/rabbitmq/rabbitmq-auth-backend-http), con le seguenti eccezioni che richiedono. AWS ARNs Per i dettagli sul supporto ARN, vedere Supporto ARN nella configurazione di [RabbitMQ](arn-support-rabbitmq-configuration.md).
### Configurazioni che richiedono ARNs
`auth_http.ssl_options.cacertfile`
Usa invece `aws.arns.auth_http.ssl_options.cacertfile`
`auth_http.ssl_options.certfile`
Usa invece `aws.arns.auth_http.ssl_options.certfile`
`auth_http.ssl_options.keyfile`
Usa invece `aws.arns.auth_http.ssl_options.keyfile`
### Opzioni SSL non supportate
Inoltre, non sono supportate le seguenti opzioni di configurazione SSL:
#### Visualizza l'elenco completo
+ `auth_http.ssl_options.cert`
+ `auth_http.ssl_options.client_renegotiation`
+ `auth_http.ssl_options.dh`
+ `auth_http.ssl_options.dhfile`
+ `auth_http.ssl_options.honor_cipher_order`
+ `auth_http.ssl_options.honor_ecc_order`
+ `auth_http.ssl_options.key.RSAPrivateKey`
+ `auth_http.ssl_options.key.DSAPrivateKey`
+ `auth_http.ssl_options.key.PrivateKeyInfo`
+ `auth_http.ssl_options.log_alert`
+ `auth_http.ssl_options.password`
+ `auth_http.ssl_options.psk_identity`
+ `auth_http.ssl_options.reuse_sessions`
+ `auth_http.ssl_options.secure_renegotiate`
+ `auth_http.ssl_options.versions.$version`
+ `auth_http.ssl_options.sni`
+ `auth_http.ssl_options.crl_check`
## Convalide aggiuntive per le configurazioni HTTP in Amazon MQ
Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione e l'autorizzazione HTTP:
+ `auth_http.http_method`deve essere una delle due o `get` `post`
+ Le seguenti configurazioni di percorso devono utilizzare HTTPS: URLs
+ `auth_http.user_path`
+ `auth_http.vhost_path`
+ `auth_http.resource_path`
+ `auth_http.topic_path`
+ Se un'impostazione richiede l'uso di un AWS ARN, `aws.arns.assume_role_arn` deve essere fornita.
# Autenticazione del certificato SSL per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta l'autenticazione degli utenti del broker tramite certificati client X.509. Per altri metodi supportati, consulta [Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ](rabbitmq-authentication.md).
**Nota**
Il plug-in di autenticazione del certificato SSL è disponibile solo per Amazon MQ for RabbitMQ versione 4 e successive.
**Considerazioni importanti**
I certificati client devono essere firmati da un'autorità di certificazione (CA) affidabile. Amazon MQ for RabbitMQ convalida la catena di certificati durante l'autenticazione.
Amazon MQ for RabbitMQ ne impone l'uso AWS ARNs per le impostazioni relative ai certificati, come i certificati CA, e per le impostazioni che richiedono l'accesso al file system locale. Vedi il [supporto ARN nella configurazione di RabbitMQ](arn-support-rabbitmq-configuration.md) per maggiori dettagli.
Amazon MQ crea automaticamente un utente di sistema denominato `monitoring-AWS-OWNED-DO-NOT-DELETE` con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati ai certificati SSL ed è limitato al solo accesso all'interfaccia di loopback. Amazon MQ impedisce l'eliminazione di questo utente aggiungendo il [tag utente protetto](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3).
Per informazioni su come configurare l'autenticazione del certificato SSL per i broker Amazon MQ for RabbitMQ, consulta. [Utilizzo dell'autenticazione tramite certificato SSL](rabbitmq-ssl-tutorial.md)
**Topics**
+ [Configurazioni SSL supportate](#ssl-supported-configs)
+ [Convalide aggiuntive per le configurazioni SSL in Amazon MQ](#ssl-additional-validations)
## Configurazioni SSL supportate
Amazon MQ for RabbitMQ supporta la SSL/TLS configurazione per le connessioni client. Per i dettagli sul supporto ARN, vedere Supporto ARN nella configurazione di [RabbitMQ](arn-support-rabbitmq-configuration.md).
### Configurazioni che richiedono ARNs
`ssl_options.cacertfile`
Usa invece `aws.arns.ssl_options.cacertfile`
### Configurazioni di accesso con certificato SSL
Le seguenti configurazioni controllano il modo in cui i nomi utente vengono estratti dai certificati client:
`ssl_cert_login_from`
Speciifica quale campo del certificato utilizzare per l'estrazione del nome utente. Valori supportati:
+ `distinguished_name`- Usa il nome distinto completo
+ `common_name`- Usa il campo Common Name (CN)
+ `subject_alternative_name`oppure `subject_alt_name` - Usa il nome alternativo del soggetto
`ssl_cert_login_san_type`
Quando si utilizza Subject Alternative Name, specifica il tipo di SAN. Valori supportati:`dns`,,`ip`,`email`, `uri` `other_name`
`ssl_cert_login_san_index`
Quando si utilizza Subject Alternative Name, specifica l'indice della voce SAN da utilizzare (a base zero). Deve essere un numero intero non negativo.
### Opzioni SSL per le connessioni client
Le seguenti opzioni SSL si applicano alle connessioni client:
`ssl_options.verify`
Modalità di verifica tra pari. Valori supportati:`verify_none`, `verify_peer`
`ssl_options.fail_if_no_peer_cert`
Se rifiutare le connessioni se il client non fornisce un certificato. Valore booleano.
`ssl_options.depth`
Profondità massima della catena di certificati per la verifica.
`ssl_options.hostname_verification`
Modalità di verifica del nome host. Valori supportati:`wildcard`, `none`
### Opzioni SSL non supportate
Le seguenti opzioni di configurazione SSL non sono supportate:
#### Visualizza l'elenco completo
+ `ssl_options.cert`
+ `ssl_options.client_renegotiation`
+ `ssl_options.dh`
+ `ssl_options.dhfile`
+ `ssl_options.honor_cipher_order`
+ `ssl_options.honor_ecc_order`
+ `ssl_options.key.RSAPrivateKey`
+ `ssl_options.key.DSAPrivateKey`
+ `ssl_options.key.PrivateKeyInfo`
+ `ssl_options.log_alert`
+ `ssl_options.password`
+ `ssl_options.psk_identity`
+ `ssl_options.reuse_sessions`
+ `ssl_options.secure_renegotiate`
+ `ssl_options.versions.$version`
+ `ssl_options.sni`
+ `ssl_options.crl_check`
## Convalide aggiuntive per le configurazioni SSL in Amazon MQ
Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione dei certificati SSL:
+ Se un'impostazione richiede l'uso di un AWS ARN, `aws.arns.assume_role_arn` deve essere fornita.
# Autenticazione e autorizzazione LDAP per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta l'autenticazione e l'autorizzazione degli utenti del broker utilizzando un server LDAP esterno. Per altri metodi supportati, consulta [Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ](rabbitmq-authentication.md).
**Considerazioni importanti**
Il server LDAP deve essere accessibile tramite la rete Internet pubblica. Amazon MQ for RabbitMQ può essere configurato per l'autenticazione sul server LDAP tramite TLS reciproco.
Amazon MQ for RabbitMQ ne impone l'uso AWS ARNs per impostazioni LDAP sensibili come le password e per le impostazioni che richiedono l'accesso al file system locale. Vedi il [supporto ARN nella configurazione di RabbitMQ](arn-support-rabbitmq-configuration.md) per maggiori dettagli.
È necessario includere l'autorizzazione IAM per abilitare LDAP sui broker esistenti. `mq:UpdateBrokerAccessConfiguration`
Amazon MQ crea automaticamente un utente di sistema denominato `monitoring-AWS-OWNED-DO-NOT-DELETE` con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati per LDAP ed è limitato al solo accesso all'interfaccia di loopback. Amazon MQ impedisce l'eliminazione di questo utente aggiungendo il [tag utente protetto](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3).
Per informazioni su come configurare LDAP per i broker Amazon MQ for RabbitMQ, consulta. [Utilizzo dell'autenticazione e dell'autorizzazione LDAP](rabbitmq-ldap-tutorial.md)
**Topics**
+ [Configurazioni LDAP supportate](#ldap-supported-configs)
+ [Convalide aggiuntive per le configurazioni LDAP in Amazon MQ](#ldap-additional-validations)
## Configurazioni LDAP supportate
Amazon MQ for RabbitMQ supporta tutte le variabili configurabili nel [plug-in LDAP RabbitMQ](https://www.rabbitmq.com/docs/ldap), con le seguenti eccezioni che richiedono. AWS ARNs Per i dettagli sul supporto ARN, vedere Supporto ARN nella configurazione di [RabbitMQ](arn-support-rabbitmq-configuration.md).
### Configurazioni che richiedono ARNs
`auth_ldap.dn_lookup_bind.password`
Usa invece `aws.arns.auth_ldap.dn_lookup_bind.password`
`auth_ldap.other_bind.password`
Usa invece `aws.arns.auth_ldap.other_bind.password`
`auth_ldap.ssl_options.cacertfile`
Usa invece `aws.arns.auth_ldap.ssl_options.cacertfile`
`auth_ldap.ssl_options.certfile`
Usa invece `aws.arns.auth_ldap.ssl_options.certfile`
`auth_ldap.ssl_options.keyfile`
Usa invece `aws.arns.auth_ldap.ssl_options.keyfile`
### Opzioni SSL non supportate
Inoltre, non sono supportate le seguenti opzioni di configurazione SSL:
#### Visualizza l'elenco completo
+ `auth_ldap.ssl_options.cert`
+ `auth_ldap.ssl_options.client_renegotiation`
+ `auth_ldap.ssl_options.dh`
+ `auth_ldap.ssl_options.dhfile`
+ `auth_ldap.ssl_options.honor_cipher_order`
+ `auth_ldap.ssl_options.honor_ecc_order`
+ `auth_ldap.ssl_options.key.RSAPrivateKey`
+ `auth_ldap.ssl_options.key.DSAPrivateKey`
+ `auth_ldap.ssl_options.key.PrivateKeyInfo`
+ `auth_ldap.ssl_options.log_alert`
+ `auth_ldap.ssl_options.password`
+ `auth_ldap.ssl_options.psk_identity`
+ `auth_ldap.ssl_options.reuse_sessions`
+ `auth_ldap.ssl_options.secure_renegotiate`
+ `auth_ldap.ssl_options.versions.$version`
+ `auth_ldap.ssl_options.sni`
## Convalide aggiuntive per le configurazioni LDAP in Amazon MQ
Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione e l'autorizzazione LDAP:
+ `auth_ldap.log`non può essere impostato su `network_unsafe`
+ Il server LDAP deve utilizzare LDAPS. `auth_ldap.use_ssl`O `auth_ldap.use_starttls` deve essere abilitato in modo esplicito
+ Se un'impostazione richiede l'uso di un AWS ARN, `aws.arns.assume_role_arn` deve essere fornita.
+ `auth_ldap.servers`deve essere un indirizzo IP valido o un FQDN valido
+ Le seguenti chiavi devono essere un nome distinto LDAP valido:
+ `auth_ldap.dn_lookup_base`
+ `auth_ldap.dn_lookup_bind.user_dn`
+ `auth_ldap.other_bind.user_dn`
+ `auth_ldap.group_lookup_base`