Autentikasi dan otorisasi API untuk Amazon MQ - Amazon MQ
Izin IAM yang Diperlukan untuk Membuat Broker Amazon MQReferensi izin REST APIIzin tingkat sumber daya yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Autentikasi dan otorisasi API untuk Amazon MQ

Amazon MQ menggunakan penandatanganan permintaan AWS standar untuk autentikasi API. Untuk informasi selengkapnya, lihat Menandatangani Permintaan API AWS di Referensi Umum AWS.

catatan

Saat ini, Amazon MQ tidak mendukung autentikasi IAM menggunakan izin berbasis sumber daya atau kebijakan berbasis sumber daya.

Untuk mengotorisasi pengguna AWS agar dapat bekerja dengan broker, konfigurasi, dan pengguna, Anda harus mengedit izin kebijakan IAM.

Izin IAM yang Diperlukan untuk Membuat Broker Amazon MQ

Untuk membuat broker, Anda harus menggunakan kebijakan IAM AmazonMQFullAccess atau termasuk izin EC2 berikut dalam kebijakan IAM.

Kebijakan kustom berikut ini terdiri dari dua pernyataan (satu bersyarat) yang memberikan izin untuk memanipulasi sumber daya yang diperlukan Amazon MQ untuk membuat broker ActiveMQ.

penting

  • Tindakan ec2:CreateNetworkInterface diperlukan untuk mengizinkan Amazon MQ membuat antarmuka jaringan elastis (ENI) di akun Anda atas nama Anda.

  • Tindakan ec2:CreateNetworkInterfacePermission mengotorisasi Amazon MQ untuk melampirkan ENI ke broker ActiveMQ.

  • Kunci syarat ec2:AuthorizedService memastikan bahwa izin ENI dapat diberikan hanya untuk akun layanan Amazon MQ.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Untuk informasi lebih lanjut, lihat Langkah 2: buat pengguna dan dapatkan AWS kredensialnya dan Jangan Pernah Memodifikasi atau Menghapus Antarmuka Jaringan Elastis Amazon MQ.

Referensi izin REST API Amazon MQ

Tabel berikut mencantumkan daftar REST API Amazon MQ dan izin IAM yang sesuai.

REST API Amazon MQ dan Izin yang Diperlukan
REST API Amazon MQ Izin yang Diperlukan
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Izin tingkat sumber daya untuk tindakan API Amazon MQ

Istilah izin tingkat sumber daya mengacu pada kemampuan untuk menentukan sumber daya yang boleh digunakan pengguna untuk melakukan tindakan. Amazon MQ memiliki dukungan parsial untuk izin tingkat sumber daya. Untuk tindakan Amazon MQ tertentu, Anda dapat mengontrol kapan pengguna diizinkan untuk menggunakan tindakan tersebut berdasarkan ketentuan yang harus dipenuhi, atau sumber daya tertentu yang diizinkan untuk digunakan oleh pengguna.

Tabel berikut menjelaskan tindakan API Amazon MQ yang saat ini mendukung izin tingkat sumber daya, serta sumber daya yang didukung, ARN sumber daya, dan kunci syarat untuk setiap tindakan.

penting

Jika tindakan API Amazon MQ tidak tercantum dalam tabel ini, artinya izin tingkat sumber daya tidak didukung. Jika tindakan API Amazon MQ tidak mendukung izin tingkat sumber daya, Anda dapat memberikan pengguna izin untuk menggunakan tindakan, tetapi Anda harus menentukan wildcard * untuk elemen sumber daya pernyataan kebijakan.

Tindakan API Jenis Sumber Daya (*wajib)
CreateConfiguration konfigurasi*
CreateTags broker, konfigurasi
CreateUser pialang*
DeleteBroker pialang*
DeleteUser pialang*
DescribeBroker pialang*
DescribeConfiguration konfigurasi*
DescribeConfigurationRevision konfigurasi*
DescribeUser pialang*
ListConfigurationRevisions konfigurasi*
ListConfigurationRevisions konfigurasi*
ListTags broker, konfigurasi
ListUsers pialang*
RebootBroker pialang*
UpdateBroker pialang*
UpdateConfiguration konfigurasi*
UpdateUser pialang*