本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MQ for RabbitMQ 的 IAM 身分驗證和授權
Amazon MQ for RabbitMQ 支援多種身分驗證和授權方法。如需所有支援方法的資訊,請參閱 Amazon MQ for RabbitMQ 代理程式的身分驗證和授權。
IAM 身分驗證和授權允許代理程式使用者透過 AWS IAM 傳出聯合使用 IAM 憑證進行身分驗證。在此方法中,IAM 登入資料用於從 AWS Security Token Service (STS) 取得 JWT 字符。這些 JWT 權杖做為身分驗證的 OAuth 2.0 權杖,利用 Amazon MQ for RabbitMQ 中現有的 OAuth 2.OAuth 0 支援,其中 AWS 做為 OAuth 2.0 身分提供者。 AWS IAM 會處理使用者身分驗證,而虛擬主機、交換、佇列和主題的資源許可是透過 RabbitMQ 中設定的 IAM 政策和範圍別名來管理。
重要考量
-
RabbitMQ 3.13、4.2 版及更新版本支援 IAM 身分驗證。Amazon MQ for ActiveMQ 代理程式不支援此功能。
-
IAM 身分驗證需要在您的 AWS 帳戶中設定和使用 IAM 傳出聯合。
-
此方法以 Amazon MQ for RabbitMQ 中現有的 OAuth 2.0 基礎設施為基礎, AWS 並做為 OAuth 2.0 身分提供者。
-
Amazon MQ 會自動建立名為
monitoring-AWS-OWNED-DO-NOT-DELETE且具有僅監控許可的系統使用者。即使已啟用 IAM 的代理程式,此使用者也會使用 RabbitMQ 的內部身分驗證系統,且僅限於循環介面存取。
在此頁面
IAM 身分驗證的運作方式
Amazon MQ for RabbitMQ 的 IAM 身分驗證使用 IAM 傳出聯合,讓 AWS IAM 憑證能夠向 RabbitMQ 代理程式進行身分驗證。IAM 登入資料用於從 AWS Security Token Service (STS) 取得 JWT 權杖,而這些 JWT 權杖可作為 OAuth 2.0 權杖,以使用 RabbitMQ 代理程式進行身分驗證。
限制
Amazon MQ for RabbitMQ 的 IAM 身分驗證具有下列限制:
-
範圍宣告組態 – 您無法直接使用範圍宣告,因為來自 STS 的 JWT 權杖是巢狀的。金鑰為
sts.amazonaws.com,需要在 RabbitMQ 組態中使用範圍別名,將 IAM 角色映射至 RabbitMQ 許可。此限制也會防止完全使用 IAM 政策進行授權,而是需要 RabbitMQ 組態進行授權。
如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 IAM 身分驗證和授權的資訊,請參閱 使用 IAM 身分驗證和授權。
