翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon MQ for RabbitMQ の LDAP 認証と認可
Amazon MQ for RabbitMQ は、外部 LDAP サーバーを使用したブローカーユーザーの認証と認可をサポートしています。サポートされているその他の方法については、[Amazon MQ for RabbitMQ ブローカーの認証と認可](rabbitmq-authentication.md)」を参照してください。
**重要な考慮事項**
LDAP サーバーは、パブリックインターネット経由でアクセス可能である必要があります。Amazon MQ for RabbitMQ は、相互 TLS を使用して LDAP サーバーに対して認証するように設定できます。
Amazon MQ for RabbitMQ は、パスワードなどの機密性の高い LDAP 設定や、ローカルファイルシステムへのアクセスを必要とする設定に AWS ARNs の使用を強制します。詳細については、[RabbitMQ 設定の ARN サポート](arn-support-rabbitmq-configuration.md)を参照してください。
既存のブローカーで LDAP を有効にするには`mq:UpdateBrokerAccessConfiguration`、IAM アクセス許可 を含める必要があります。
Amazon MQ は、モニタリングのみのアクセス許可を持つ `monitoring-AWS-OWNED-DO-NOT-DELETE` という名前のシステムユーザーを自動的に作成します。このユーザーは、LDAP 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。Amazon MQ は、[保護されたユーザータグを追加することで、このユーザー](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3)の削除を防止します。
Amazon MQ for RabbitMQ ブローカーの LDAP を設定する方法については、「」を参照してください[LDAP 認証と認可の使用](rabbitmq-ldap-tutorial.md)。
**Topics**
+ [サポートされている LDAP 設定](#ldap-supported-configs)
+ [Amazon MQ での LDAP 設定の追加検証](#ldap-additional-validations)
## サポートされている LDAP 設定
Amazon MQ for RabbitMQ は[RabbitMQ LDAP プラグイン](https://www.rabbitmq.com/docs/ldap)で設定可能なすべての変数をサポートしますが、 AWS ARNs。ARN サポートの詳細については、[RabbitMQ 設定での ARN サポート](arn-support-rabbitmq-configuration.md)」を参照してください。
### ARNs を必要とする設定
`auth_ldap.dn_lookup_bind.password`
代わりに `aws.arns.auth_ldap.dn_lookup_bind.password` を使用
`auth_ldap.other_bind.password`
代わりに `aws.arns.auth_ldap.other_bind.password` を使用
`auth_ldap.ssl_options.cacertfile`
代わりに `aws.arns.auth_ldap.ssl_options.cacertfile` を使用
`auth_ldap.ssl_options.certfile`
代わりに `aws.arns.auth_ldap.ssl_options.certfile` を使用
`auth_ldap.ssl_options.keyfile`
代わりに `aws.arns.auth_ldap.ssl_options.keyfile` を使用
### サポートされていない SSL オプション
以下の SSL 設定オプションもサポートされていません。
#### 完全なリストを表示する
+ `auth_ldap.ssl_options.cert`
+ `auth_ldap.ssl_options.client_renegotiation`
+ `auth_ldap.ssl_options.dh`
+ `auth_ldap.ssl_options.dhfile`
+ `auth_ldap.ssl_options.honor_cipher_order`
+ `auth_ldap.ssl_options.honor_ecc_order`
+ `auth_ldap.ssl_options.key.RSAPrivateKey`
+ `auth_ldap.ssl_options.key.DSAPrivateKey`
+ `auth_ldap.ssl_options.key.PrivateKeyInfo`
+ `auth_ldap.ssl_options.log_alert`
+ `auth_ldap.ssl_options.password`
+ `auth_ldap.ssl_options.psk_identity`
+ `auth_ldap.ssl_options.reuse_sessions`
+ `auth_ldap.ssl_options.secure_renegotiate`
+ `auth_ldap.ssl_options.versions.$version`
+ `auth_ldap.ssl_options.sni`
## Amazon MQ での LDAP 設定の追加検証
Amazon MQ では、LDAP 認証と認可に対して次の追加の検証も適用されます。
+ `auth_ldap.log` を に設定することはできません `network_unsafe`
+ LDAP サーバーは LDAPS を使用する必要があります。`auth_ldap.use_ssl` または のいずれかを明示的に有効に`auth_ldap.use_starttls`する必要があります
+ 設定で AWS ARN の使用が必要な場合は、 を指定`aws.arns.assume_role_arn`する必要があります。
+ `auth_ldap.servers` は有効な IP アドレスまたは有効な FQDN である必要があります
+ 次のキーは有効な LDAP 識別名である必要があります。
+ `auth_ldap.dn_lookup_base`
+ `auth_ldap.dn_lookup_bind.user_dn`
+ `auth_ldap.other_bind.user_dn`
+ `auth_ldap.group_lookup_base`