Autenticação e autorização LDAP para Amazon MQ para RabbitMQ - Amazon MQ
Configurações LDAP suportadasValidações adicionais para configurações LDAP no Amazon MQ

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação e autorização LDAP para Amazon MQ para RabbitMQ

O Amazon MQ para RabbitMQ oferece suporte à autenticação e autorização de usuários do broker usando um servidor LDAP externo. Para outros métodos compatíveis, consulte Autenticação e autorização do Amazon MQ para corretores do RabbitMQ.

Considerações importantes

  • O servidor LDAP precisa estar acessível pela Internet pública. O Amazon MQ para RabbitMQ pode ser configurado para autenticação no servidor LDAP usando TLS mútuo.

  • O Amazon MQ para RabbitMQ impõe o uso de AWS ARNs configurações LDAP confidenciais, como senhas, e configurações que exigem acesso ao sistema de arquivos local. Consulte Suporte de ARN na configuração do RabbitMQ para obter mais detalhes.

  • Você deve incluir a permissão do IAM,mq:UpdateBrokerAccessConfiguration, para habilitar o LDAP em corretores existentes.

  • O Amazon MQ cria automaticamente um usuário do sistema chamado monitoring-AWS-OWNED-DO-NOT-DELETE com permissões somente de monitoramento. Esse usuário usa o sistema de autenticação interna do RabbitMQ mesmo em corretores habilitados para LDAP e está restrito apenas ao acesso à interface de loopback. O Amazon MQ impede a exclusão desse usuário adicionando a tag de usuário protegida.

Para obter informações sobre como configurar o LDAP para seus corretores Amazon MQ para RabbitMQ, consulte. Usando autenticação e autorização LDAP

Configurações LDAP suportadas

O Amazon MQ para RabbitMQ oferece suporte a todas as variáveis configuráveis no plug-in LDAP do RabbitMQ, com as seguintes exceções que exigem. AWS ARNs Para obter detalhes sobre o suporte ao ARN, consulte Suporte ao ARN na configuração do RabbitMQ.

Configurações que exigem ARNs

auth_ldap.dn_lookup_bind.password

Use aws.arns.auth_ldap.dn_lookup_bind.password em vez disso

auth_ldap.other_bind.password

Use aws.arns.auth_ldap.other_bind.password em vez disso

auth_ldap.ssl_options.cacertfile

Use aws.arns.auth_ldap.ssl_options.cacertfile em vez disso

auth_ldap.ssl_options.certfile

Use aws.arns.auth_ldap.ssl_options.certfile em vez disso

auth_ldap.ssl_options.keyfile

Use aws.arns.auth_ldap.ssl_options.keyfile em vez disso

Opções de SSL não suportadas

As seguintes opções de configuração de SSL também não são suportadas:

  • auth_ldap.ssl_options.cert

  • auth_ldap.ssl_options.client_renegotiation

  • auth_ldap.ssl_options.dh

  • auth_ldap.ssl_options.dhfile

  • auth_ldap.ssl_options.honor_cipher_order

  • auth_ldap.ssl_options.honor_ecc_order

  • auth_ldap.ssl_options.key.RSAPrivateKey

  • auth_ldap.ssl_options.key.DSAPrivateKey

  • auth_ldap.ssl_options.key.PrivateKeyInfo

  • auth_ldap.ssl_options.log_alert

  • auth_ldap.ssl_options.password

  • auth_ldap.ssl_options.psk_identity

  • auth_ldap.ssl_options.reuse_sessions

  • auth_ldap.ssl_options.secure_renegotiate

  • auth_ldap.ssl_options.versions.$version

  • auth_ldap.ssl_options.sni

Validações adicionais para configurações LDAP no Amazon MQ

O Amazon MQ também impõe as seguintes validações adicionais para autenticação e autorização LDAP:

  • auth_ldap.lognão pode ser definido como network_unsafe

  • O servidor LDAP deve usar LDAPS. auth_ldap.use_sslOu auth_ldap.use_starttls deve ser habilitado explicitamente

  • Se alguma configuração exigir o uso de um AWS ARN, aws.arns.assume_role_arn deverá ser fornecida.

  • auth_ldap.serversdeve ser um endereço IP válido ou um FQDN válido

  • As chaves a seguir devem ser um nome distinto LDAP válido:

    • auth_ldap.dn_lookup_base

    • auth_ldap.dn_lookup_bind.user_dn

    • auth_ldap.other_bind.user_dn

    • auth_ldap.group_lookup_base