本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon MQ 如何与 IAM 协同工作
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理对 Amazon MQ 的访问权限之前，您应该了解哪些 IAM 功能可用于 Amazon MQ。要全面了解 Amazon MQ 和其他 AWS 服务如何与 IAM 配合使用，请参阅 IAM *用户*指南中的[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

亚马逊 MQ 使用 IAM for Amazon MQ API 操作来创建、更新、删除和列出经纪人。要让代理访问发布和订阅消息，Amazon MQ for ActiveMQ 支持原生 ActiveMQ 身份验证和 LDAP，而适用于 RabbitMQ 的亚马逊 MQ 支持 IAM 身份验证和其他方法。有关更多信息，请参阅 [经纪人身份验证和授权](security-broker-auth-ref.md)。

**Topics**
+ [Amazon MQ 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Amazon MQ 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 Amazon MQ 标签的授权](#security_iam_service-with-iam-tags)
+ [Amazon MQ IAM 角色](#security_iam_service-with-iam-roles)

## Amazon MQ 基于身份的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon MQ 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

Amazon MQ 中的策略操作在操作前面使用以下前缀：`mq:`。例如，要授予某人使用 Amazon MQ `CreateBroker` API 操作运行 Amazon MQ 实例的权限，您应将 `mq:CreateBroker` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon MQ 定义了一组自己的操作，以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "mq:action1",
      "mq:action2"
```

您也可以使用通配符 （\$1) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "mq:Describe*"
```



要查看 Amazon MQ 操作的列表，请参阅《IAM 用户指南》**中的 [Amazon MQ 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\$1) 指示语句应用于所有资源。

```
"Resource": "*"
```



在 Amazon MQ 中，主要 AWS 资源是 Amazon MQ 消息代理及其配置。Amazon MQ 代理和配置都有与之关联的唯一亚马逊资源名称 (ARNs)，如下表所示。


****  

| 资源类型 | ARN | 条件键 | 
| --- | --- | --- | 
|   brokers  |  arn:aws:mq:us-east-1:123456789012:broker:\$1\$1brokerName\$1:\$1\$1brokerId\$1  |   [aws:ResourceTag/\$1\$1TagKey\$1](#amazonmq-aws_ResourceTag___TagKey_)   | 
|   configurations  |  arn:\$1\$1Partition\$1:mq:\$1\$1Region\$1:\$1\$1Account\$1:configuration:\$1\$1configuration-id\$1  |   [aws:ResourceTag/\$1\$1TagKey\$1](#amazonmq-aws_ResourceTag___TagKey_)   | 

有关格式的更多信息 ARNs，请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

例如，要在语句中指定名为 `MyBroker` 且 brokerId 为 `b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9` 的代理，请使用以下 ARN：

```
"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
```

要指定属于特定账户的所有代理和配置，请使用通配符（\$1）：

```
"Resource": "arn:aws:mq:us-east-1:123456789012:*"
```

无法对特定资源执行某些 Amazon MQ 操作，例如，用于创建资源的操作。在这些情况下，您必须使用通配符（\$1)。

```
"Resource": "*"
```

 API 操作 `CreateTags` 同时需要代理和配置。要在单个语句中指定多个资源，请 ARNs 用逗号分隔。

```
"Resource": [
      "resource1",
      "resource2"
```

要查看 Amazon MQ 资源类型及其列表 ARNs，请参阅 IAM 用户指南中的 [Amazon MQ 定义*的*资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-resources-for-iam-policies)。要了解您可以使用哪些操作指定每个资源的 ARN，请参阅 [Amazon MQ 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

Amazon MQ 不定义任何特定于服务的条件键，但支持使用某些全局条件键。要查看 Amazon MQ 条件键的列表，请参阅下表，或参阅《IAM 用户指南》**中的 [Amazon MQ 的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-policy-keys)。要了解您可以对哪些操作和资源使用条件键，请参阅 [Amazon MQ 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonmq.html#amazonmq-actions-as-permissions)。


****  

| 条件键 | 描述 | Type | 
| --- | --- | --- | 
|  [aws: RequestTag /\$1 \$1\$1 TagKey](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)  |  根据在请求中传递的标签筛选操作。 | 字符串 | 
|  [aws: ResourceTag /\$1 \$1\$1 TagKey](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourcetag)  |  根据与资源关联的标签筛选操作。 | 字符串 | 
|  [aws：TagKeys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) |  根据在请求中传递的标签键筛选操作。 | 字符串 | 

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 Amazon MQ 基于身份的策略的示例，请参阅[Amazon MQ 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

## Amazon MQ 基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

目前，Amazon MQ 不支持使用基于资源的权限或基于资源的策略执行 IAM 身份验证。

## 基于 Amazon MQ 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到 Amazon MQ 资源，或者在请求中将标签传递给 Amazon MQ。要基于标签控制访问，您需要使用 `mq:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。

Amazon MQ 支持基于标签的策略。例如，您可能会拒绝对包含具有键 `environment` 和值 `production` 的标签的 Amazon MQ 资源的访问：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "mq:DeleteBroker",
                "mq:RebootBroker",
                "mq:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/environment": "production"
                }
            }
        }
    ]
}
```

------

此策略将拒绝（`Deny`）删除或重启包含标签 `environment/production` 的 Amazon MQ 代理的能力。

有关标记的更多信息，请参阅：
+ [为 Amazon MQ 资源添加标签](amazon-mq-tagging.md)
+ [使用 IAM 标签控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)

## Amazon MQ IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。

### 将临时凭证用于 Amazon MQ
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

Amazon MQ 支持使用临时凭证。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

Amazon MQ 支持服务角色。