Politiques basées sur l'identité Amazon MQ Politiques basées sur des ressources Amazon MQ Autorisation basée sur des balises Amazon MQ Rôles Amazon MQ IAM

Comment fonctionne Amazon MQ avec IAM

Avant de gérer l'IAMaccès à Amazon MQ, vous devez connaître les IAM fonctionnalités disponibles avec Amazon MQ. Pour obtenir une vue d'ensemble de la façon dont Amazon MQ et les autres AWS services fonctionnent avecIAM, consultez la section AWS Services That Work with du guide IAM de l'IAMutilisateur.

Amazon MQ utilise l'authentification ActiveMQ native IAM pour créer, mettre à jour et supprimer des opérations, mais pour les courtiers. Pour de plus amples informations, veuillez consulter Intégrer les courtiers ActiveMQ à LDAP.

Rubriques

Politiques basées sur l'identité Amazon MQ
Politiques basées sur des ressources Amazon MQ
Autorisation basée sur des balises Amazon MQ
Rôles Amazon MQ IAM

Politiques basées sur l'identité Amazon MQ

Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon MQ est compatible avec des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la section Référence des éléments de IAM JSON stratégie dans le guide de IAM l'utilisateur.

Actions

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d'actions dans une stratégie afin d'accorder l'autorisation d'exécuter les opérations associées.

Les actions de politique dans Amazon MQ utilisent le préfixe suivant avant l'action : mq:. Par exemple, pour autoriser quelqu'un à exécuter une instance Amazon MQ avec l'opération Amazon CreateBroker API MQ, vous incluez mq:CreateBroker l'action dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon MQ définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :


"Action": [
      "mq:action1",
      "mq:action2"

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :


"Action": "mq:Describe*"

Pour consulter la liste des actions Amazon MQ, consultez la section Actions définies par Amazon MQ dans IAM le guide de l'utilisateur.

Ressources

L'élément Resource JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de spécifier une ressource en utilisant son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.


"Resource": "*"

Dans Amazon MQ, les AWS ressources principales sont un courtier de messages Amazon MQ et sa configuration. Les courtiers et configurations Amazon MQ sont chacun associés à des noms de ressources Amazon (ARNs) uniques, comme indiqué dans le tableau suivant.

Types de ressources	ARN	Clés de condition
brokers	`arn:aws:mq:us-east-1:123456789012:broker:${brokerName}:${brokerId}`	aws:ResourceTag/${TagKey}
configurations	`arn:${Partition}:mq:${Region}:${Account}:configuration:${configuration-id}`	aws:ResourceTag/${TagKey}

Pour plus d'informations sur le format deARNs, consultez Amazon Resource Names (ARNs) et AWS Service Namespaces.

Par exemple, pour spécifier le courtier nommé MyBroker avec brokerId b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9 dans votre relevé, utilisez ce qui suit ARN :


"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"

Pour spécifier tous les agents et configurations qui appartiennent à un compte spécifique, utilisez le caractère générique (*) :


"Resource": "arn:aws:mq:us-east-1:123456789012:*"

Certaines actions Amazon MQ, telles que celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).


"Resource": "*"

L'APIaction CreateTags nécessite à la fois un courtier et une configuration. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.


"Resource": [
      "resource1",
      "resource2"

Pour consulter la liste des types de ressources Amazon MQ et leurs caractéristiquesARNs, consultez la section Ressources définies par Amazon MQ dans IAM le guide de l'utilisateur. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez Actions définies par Amazon MQ. ARN

Clés de condition

L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez IAMla section Éléments de politique : variables et balises dans le Guide de IAM l'utilisateur.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.

Amazon MQ ne fournit pas de clés de condition spécifiques au service, mais prend en charge l'utilisation de certaines clés de condition globales. Pour consulter la liste des clés de condition Amazon MQ, consultez le tableau ci-dessous ou les clés de condition pour Amazon MQ dans IAM le guide de l'utilisateur. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez Actions définies par Amazon MQ.

Clés de condition	Description	Type
était : RequestTag /$ {} TagKey	Filtre les actions en fonction des balises qui sont transmises dans la demande.	Chaîne
était : ResourceTag /$ {} TagKey	Filtre les actions en fonction des balises associées à la ressource.	Chaîne
lois : TagKeys	Filtre les actions en fonction des clés de balise qui sont transmises dans la demande.	Chaîne

Exemples

Pour voir des exemples de politiques Amazon MQ basées sur l'identité, consultez Exemples de politique basée sur l'identité d'Amazon MQ.

Politiques basées sur des ressources Amazon MQ

Actuellement, Amazon MQ ne prend pas en charge l'IAMauthentification à l'aide d'autorisations basées sur les ressources ou de politiques basées sur les ressources.

Autorisation basée sur des balises Amazon MQ

Vous pouvez attacher des balises aux ressources Amazon MQ ou transmettre des balises dans une demande à Amazon MQ. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’élément de condition d’une politique utilisant les clés de condition mq:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys.

Amazon MQ prend en charge les politiques basées sur les balises. Par exemple, vous pouvez refuser l'accès aux ressources Amazon MQ qui incluent une balise avec la clé environment et la valeurproduction :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "mq:DeleteBroker",
                "mq:RebootBroker",
                "mq:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/environment": "production"
                }
            }
        }
    ]
}

Cette politique va Deny la possibilité de supprimer ou de redémarrer un agent Amazon MQ qui inclut la balise environment/production.

Pour plus d'informations sur le balisage, consultez :

Rôles Amazon MQ IAM

Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques.

Utilisation d'informations d'identification temporaires avec Amazon MQ

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.

Amazon MQ est compatible avec l'utilisation des informations d'identification temporaires.

Rôles de service

Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

Amazon MQ prend en charge les rôles de service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et des accès

Exemples de politiques basées sur l’identité