Amazon MQ for RabbitMQ の LDAP 認証と認可

Amazon MQ for RabbitMQ は、外部 LDAP サーバーを使用したブローカーユーザーの認証と認可をサポートしています。サポートされているその他の方法については、Amazon MQ for RabbitMQ ブローカーの認証と認可」を参照してください。

LDAP サーバーは、パブリックインターネット経由でアクセス可能である必要があります。Amazon MQ for RabbitMQ は、相互 TLS を使用して LDAP サーバーに対して認証するように設定できます。
Amazon MQ for RabbitMQ は、パスワードなどの機密性の高い LDAP 設定や、ローカルファイルシステムへのアクセスを必要とする設定に AWS ARNs の使用を強制します。詳細については、RabbitMQ 設定の ARN サポートを参照してください。
既存のブローカーで LDAP を有効にするにはmq:UpdateBrokerAccessConfiguration、IAM アクセス許可を含める必要があります。
Amazon MQ は、モニタリングのみのアクセス許可を持つ monitoring-AWS-OWNED-DO-NOT-DELETE という名前のシステムユーザーを自動的に作成します。このユーザーは、LDAP 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。Amazon MQ は、保護されたユーザータグを追加することで、このユーザーの削除を防止します。

Amazon MQ for RabbitMQ ブローカーの LDAP を設定する方法については、「」を参照してくださいLDAP 認証と認可の使用。

サポートされている LDAP 設定

Amazon MQ for RabbitMQ はRabbitMQ LDAP プラグインで設定可能なすべての変数をサポートしますが、 AWS ARNs。ARN サポートの詳細については、RabbitMQ 設定での ARN サポート」を参照してください。

auth_ldap.dn_lookup_bind.password: 代わりに aws.arns.auth_ldap.dn_lookup_bind.password を使用
auth_ldap.other_bind.password: 代わりに aws.arns.auth_ldap.other_bind.password を使用
auth_ldap.ssl_options.cacertfile: 代わりに aws.arns.auth_ldap.ssl_options.cacertfile を使用
auth_ldap.ssl_options.certfile: 代わりに aws.arns.auth_ldap.ssl_options.certfile を使用
auth_ldap.ssl_options.keyfile: 代わりに aws.arns.auth_ldap.ssl_options.keyfile を使用

以下の SSL 設定オプションもサポートされていません。

Amazon MQ では、LDAP 認証と認可に対して次の追加の検証も適用されます。

auth_ldap.log をに設定することはできません network_unsafe
LDAP サーバーは LDAPS を使用する必要があります。auth_ldap.use_ssl またはのいずれかを明示的に有効にauth_ldap.use_starttlsする必要があります
設定で AWS ARN の使用が必要な場合は、を指定aws.arns.assume_role_arnする必要があります。
auth_ldap.servers は有効な IP アドレスまたは有効な FQDN である必要があります
次のキーは有効な LDAP 識別名である必要があります。
- auth_ldap.dn_lookup_base
- auth_ldap.dn_lookup_bind.user_dn
- auth_ldap.other_bind.user_dn
- auth_ldap.group_lookup_base

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

SSL 証明書認証

プラグイン