翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MQ for RabbitMQ の IAM 認証と認可
Amazon MQ for RabbitMQ は、複数の認証および認可方法をサポートしています。サポートされているすべての方法の詳細については、Amazon MQ for RabbitMQ ブローカーの認証と認可」を参照してください。
IAM 認証と認可により、ブローカーユーザーは IAM AWS アウトバウンドフェデレーションを通じて IAM 認証情報を使用して認証できます。この方法では、IAM 認証情報を使用して AWS Security Token Service (STS) から JWT トークンを取得します。これらの JWT トークンは認証用の OAuth 2.0 トークンとして機能し、Amazon MQ for RabbitMQ の既存の OAuth 2.0 サポートを活用します。 AWS は OAuth 2.0 ID プロバイダーとして機能します。 AWS IAM はユーザー認証を処理し、仮想ホスト、交換、キュー、トピックのリソース許可は RabbitMQ で設定された IAM ポリシーとスコープエイリアスを通じて管理されます。
重要な考慮事項
-
IAM 認証は、RabbitMQ バージョン 3.13、4.2 以降でサポートされています。Amazon MQ for ActiveMQ ブローカーではサポートされていません。
-
IAM 認証では、IAM アウトバウンドフェデレーションを設定し、 AWS アカウントで使用できるようにする必要があります。
-
このメソッドは、Amazon MQ for RabbitMQ の既存の OAuth 2.0 インフラストラクチャ上に構築され、OAuth 2.0 ID プロバイダー AWS として機能します。
-
Amazon MQ は、モニタリングのみのアクセス許可を持つ
monitoring-AWS-OWNED-DO-NOT-DELETEという名前のシステムユーザーを自動的に作成します。このユーザーは、IAM 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。
このページの内容
IAM 認証の仕組み
Amazon MQ for RabbitMQ の IAM 認証は、IAM アウトバウンドフェデレーションを使用して、IAM AWS 認証情報が RabbitMQ ブローカーで認証できるようにします。IAM 認証情報は、 AWS Security Token Service (STS) から JWT トークンを取得するために使用されます。これらの JWT トークンは、RabbitMQ ブローカーによる認証用の OAuth 2.0 トークンとして機能します。
制限事項
Amazon MQ for RabbitMQ の IAM 認証には、次の制限があります。
-
スコープクレーム設定 – STS の JWT トークンがネストされているため、スコープクレームを直接使用することはできません。キーは で
sts.amazonaws.com、RabbitMQ 設定でスコープエイリアスを使用して IAM ロールを RabbitMQ アクセス許可にマッピングする必要があります。この制限により、認可に IAM ポリシーが完全に使用されなくなり、代わりに認可に RabbitMQ 設定が必要になります。
Amazon MQ for RabbitMQ ブローカーの IAM 認証と認可を設定する方法については、「」を参照してくださいIAM 認証と認可の使用。
