翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon MQ for RabbitMQ の IAM 認証と認可
Amazon MQ for RabbitMQ は、複数の認証および認可方法をサポートしています。サポートされているすべての方法の詳細については、[Amazon MQ for RabbitMQ ブローカーの認証と認可](rabbitmq-authentication.md)」を参照してください。
IAM 認証と認可により、ブローカーユーザーは IAM AWS [アウトバウンドフェデレーションを通じて IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) 認証情報を使用して認証できます。この方法では、IAM 認証情報を使用して AWS Security Token Service (STS) から JWT トークンを取得します。これらの JWT トークンは認証用の OAuth 2.0 トークンとして機能し、Amazon MQ for RabbitMQ の既存の OAuth 2.0 サポートを活用します。 AWS は OAuth 2.0 ID プロバイダーとして機能します。 AWS IAM はユーザー認証を処理し、仮想ホスト、交換、キュー、トピックのリソース許可は RabbitMQ で設定された IAM ポリシーとスコープエイリアスを通じて管理されます。
**重要な考慮事項**
IAM 認証は、RabbitMQ バージョン 3.13、4.2 以降でサポートされています。Amazon MQ for ActiveMQ ブローカーではサポートされていません。
IAM 認証では、IAM アウトバウンドフェデレーションを設定し、 AWS アカウントで使用できるようにする必要があります。
このメソッドは、Amazon MQ for RabbitMQ の既存の OAuth 2.0 インフラストラクチャ上に構築され、OAuth 2.0 ID プロバイダー AWS として機能します。
Amazon MQ は、モニタリングのみのアクセス許可を持つ `monitoring-AWS-OWNED-DO-NOT-DELETE` という名前のシステムユーザーを自動的に作成します。このユーザーは、IAM 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。
**Topics**
+ [IAM 認証の仕組み](#iam-authentication-overview)
+ [制限事項](#iam-authentication-limitations)
## IAM 認証の仕組み
Amazon MQ for RabbitMQ の IAM 認証は、[IAM アウトバウンドフェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html)を使用して、IAM AWS 認証情報が RabbitMQ ブローカーで認証できるようにします。IAM 認証情報は、 AWS Security Token Service (STS) から JWT トークンを取得するために使用されます。これらの JWT トークンは、RabbitMQ ブローカーによる認証用の OAuth 2.0 トークンとして機能します。
## 制限事項
Amazon MQ for RabbitMQ の IAM 認証には、次の制限があります。
+ **スコープクレーム設定** – STS の JWT トークンがネストされているため、スコープクレームを直接使用することはできません。キーは で`sts.amazonaws.com`、RabbitMQ 設定でスコープエイリアスを使用して IAM ロールを RabbitMQ アクセス許可にマッピングする必要があります。この制限により、認可に IAM ポリシーが完全に使用されなくなり、代わりに認可に RabbitMQ 設定が必要になります。
Amazon MQ for RabbitMQ ブローカーの IAM 認証と認可を設定する方法については、「」を参照してください[IAM 認証と認可の使用](rabbitmq-iam-tutorial.md)。