Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autenticazione e autorizzazione API per Amazon MQ
Amazon MQ utilizza la firma delle richieste AWS standard per l'autenticazione API. Per ulteriori informazioni, consulta la sezione relativa alla AWSfirma delle richieste API nella Riferimenti generali di AWS.
Nota
Attualmente, Amazon MQ non supporta l'autenticazione IAM utilizzando autorizzazioni basate sulle risorse o policy basate sulle risorse.
Per autorizzare gli utenti AWS a utilizzare broker, configurazioni e utenti, occorre modificare le autorizzazioni della policy IAM.
Argomenti
Autorizzazioni IAM richieste per creare un broker Amazon MQ
Per creare un broker, utilizzare la policy IAM AmazonMQFullAccess oppure includere le seguenti autorizzazioni EC2 nella policy IAM.
La seguente policy personalizzata è composta da due istruzioni (una condizionale) che concedono le autorizzazioni per manipolare le risorse richieste da Amazon MQ per creare un broker ActiveMQ.
Importante
-
L'operazione
ec2:CreateNetworkInterfaceè necessaria per consentire ad Amazon MQ di creare un'interfaccia di rete elastica (ENI) nell'account a tuo nome. -
L'operazione
ec2:CreateNetworkInterfacePermissionautorizza Amazon MQ a collegare l'ENI a un broker ActiveMQ. -
La chiave di condizione
ec2:AuthorizedServicegarantisce che le autorizzazioni ENI possano essere concesse solo ad account del servizio Amazon MQ.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }
Per ulteriori informazioni, consulta Passaggio 2: crea un utente e ottieni le tue credenziali AWS e Non modificare né eliminare mai l'interfaccia di rete elastica Amazon MQ.
Riferimento alle autorizzazioni API REST di Amazon MQ
Nella tabella seguente vengono elencate le API REST di Amazon MQ e le autorizzazioni IAM corrispondenti.
API REST di Amazon MQ e autorizzazioni necessarie | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| API REST di Amazon MQ | Autorizzazioni richieste | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateBroker |
mq:CreateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateConfiguration |
mq:CreateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateTags |
mq:CreateTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateUser |
mq:CreateUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteBroker |
mq:DeleteBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteUser |
mq:DeleteUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeBroker |
mq:DescribeBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfiguration |
mq:DescribeConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfigurationRevision |
mq:DescribeConfigurationRevision |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeUser |
mq:DescribeUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListBrokers |
mq:ListBrokers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurationRevisions |
mq:ListConfigurationRevisions |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurations |
mq:ListConfigurations |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListTags |
mq:ListTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListUsers |
mq:ListUsers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RebootBroker |
mq:RebootBroker
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateBroker |
mq:UpdateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateConfiguration |
mq:UpdateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateUser |
mq:UpdateUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Autorizzazioni a livello di risorsa supportate per le operazioni API di Amazon MQ
Il concetto di autorizzazioni a livello di risorsa indica la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. Amazon MQ supporta parzialmente le autorizzazioni a livello di risorsa. Per determinate operazioni di Amazon MQ, puoi controllare se gli utenti sono autorizzati a utilizzarle in base a condizioni che devono essere soddisfatte o a specifiche risorse che gli utenti sono autorizzati a utilizzare.
La tabella seguente descrive le operazioni API di Amazon MQ che attualmente supportano le autorizzazioni a livello di risorsa, nonché le risorse supportate, gli ARN di risorsa e le chiavi di condizione per ciascuna operazione.
Importante
Se un'operazione API di Amazon MQ non è presente in questa tabella, significa che non supporta le autorizzazioni a livello di risorsa. Se un'operazione API di Amazon MQ non supporta le autorizzazioni a livello di risorsa, puoi concedere agli utenti l'autorizzazione per utilizzare l'operazione, ma dovrai specificare il carattere jolly * per l'elemento di risorsa della tua dichiarazione di policy.
