View a markdown version of this page

Autenticação e autorização do IAM para Amazon MQ para RabbitMQ - Amazon MQ
Como funciona a autenticação do IAMLimitações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação e autorização do IAM para Amazon MQ para RabbitMQ

O Amazon MQ para RabbitMQ oferece suporte a vários métodos de autenticação e autorização. Para obter informações sobre todos os métodos compatíveis, consulte Autenticação e autorização do Amazon MQ para corretores do RabbitMQ.

A autenticação e autorização do IAM permitem que os usuários do broker se autentiquem usando credenciais AWS do IAM por meio da federação de saída do IAM. Nesse método, as credenciais do IAM são usadas para obter tokens JWT do AWS Security Token Service (STS). Esses tokens JWT servem como tokens OAuth 2.0 para autenticação, aproveitando o suporte OAuth 2.0 existente no Amazon MQ para RabbitMQ, AWS onde atua como o provedor de identidade 2.0. OAuth AWS O IAM lida com a autenticação do usuário, enquanto as permissões de recursos para hosts virtuais, trocas, filas e tópicos são gerenciadas por meio de políticas do IAM e aliases de escopo configurados no RabbitMQ.

Considerações importantes

  • A autenticação do IAM é compatível com as versões 3.13, 4.2 e superiores do RabbitMQ. Ele não é compatível com o Amazon MQ para corretores ActiveMQ.

  • A autenticação do IAM exige que a federação de saída do IAM esteja configurada e disponível em sua AWS conta.

  • Esse método se baseia na infraestrutura OAuth 2.0 existente no Amazon MQ para RabbitMQ, AWS servindo como provedor de identidade 2.0. OAuth

  • O Amazon MQ cria automaticamente um usuário do sistema chamado monitoring-AWS-OWNED-DO-NOT-DELETE com permissões somente de monitoramento. Esse usuário usa o sistema de autenticação interna do RabbitMQ mesmo em corretores habilitados para IAM e está restrito apenas ao acesso à interface de loopback.

Como funciona a autenticação do IAM

A autenticação do IAM para o Amazon MQ for RabbitMQ usa a federação de saída do IAM para permitir que as credenciais do IAM sejam autenticadas com os corretores AWS do RabbitMQ. As credenciais do IAM são usadas para obter tokens JWT do AWS Security Token Service (STS), e esses tokens JWT servem como tokens OAuth 2.0 para autenticação com o corretor RabbitMQ.

Limitações

A autenticação do IAM para Amazon MQ para RabbitMQ tem a seguinte limitação:

  • Configuração de declaração de escopo — Você não pode usar uma declaração de escopo diretamente porque o token JWT do STS está aninhado. A chave é sts.amazonaws.com que requer o uso de aliases de escopo na configuração do RabbitMQ para mapear as funções do IAM para as permissões do RabbitMQ. Essa limitação também impede o uso total das políticas do IAM para autorização, exigindo a configuração do RabbitMQ para autorização.

Para obter informações sobre como configurar a autenticação e autorização do IAM para seus corretores Amazon MQ para RabbitMQ, consulte. Usando autenticação e autorização do IAM