サポートされている OAuth 2.0 設定 OAuth 2.0 認証の追加検証

Amazon MQ for RabbitMQ に対する OAuth 2.0 の認証と認可

Amazon MQ for RabbitMQ は、複数の認証および認可方法をサポートしています。サポートされているすべての方法の詳細については、Amazon MQ for RabbitMQ ブローカーの認証と認可」を参照してください。

OAuth 2.0 の認証と認可では、ブローカーユーザーとそのアクセス許可は外部 OAuth 2.0 ID プロバイダー (IdP) によって管理されます。vhost、交換、キュー、トピックのユーザー認証とリソースアクセス許可は、OAuth 2.0 プロバイダーのスコープシステムを通じて一元化されます。これにより、ユーザー管理が簡素化され、既存の ID システムとの統合が可能になります。

重要な考慮事項

OAuth 2.0 統合は、Amazon MQ for ActiveMQ ブローカーではサポートされていません。
Amazon MQ for RabbitMQ では、プライベート CA によって発行されたサーバー証明書はサポートされません。
RabbitMQ OAuth 2.0 プラグインは、トークンイントロスペクションエンドポイントと不透明なアクセストークンをサポートしていません。また、トークンの取り消しチェックも実行しません。
既存のブローカーで OAuth 2.0 を有効にするには、IAM アクセス許可、mq:UpdateBrokerAccessConfiguration を含める必要があります。
Amazon MQ は、モニタリングのみのアクセス許可を持つ monitoring-AWS-OWNED-DO-NOT-DELETE という名前のシステムユーザーを自動的に作成します。このユーザーは、OAuth 2.0 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。

Amazon MQ for RabbitMQ ブローカーに OAuth 2.0 を設定する方法については、「」を参照してくださいOAuth 2.0 の認証と認可の使用。

サポートされている OAuth 2.0 設定

Amazon MQ for RabbitMQ は、RabbitMQ OAuth 2.0 プラグインで設定可能なすべての変数をサポートしますが、以下の例外があります。

auth_oauth2.https.cacertfile
auth_oauth2.oauth_providers.{id/index}.https.cacertfile
management.oauth_client_secret

Amazon MQ はこのキーをサポートしていないため、UAA は IdP としてサポートされません。
management.oauth_resource_servers.{id/index}.oauth_client_secret
auth_oauth2.signing_keys.{id/index}

OAuth 2.0 認証の追加検証

Amazon MQ では、OAuth 2.0 認証に次の追加の検証も適用されます。

すべての URL は https:// で始まる必要があります。
サポートされている署名アルゴリズム: Ed25519、Ed25519ph、Ed448、Ed448ph、EdDSA、ES256K、ES256、ES384、ES512、HS256、HS384、HS512、PS256、PS384、PS512、RS256、RS384、RS512。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

シンプルな認証と認可

IAM 認証と認可