Autenticazione e autorizzazione API per Amazon MQ - Amazon MQ

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione e autorizzazione API per Amazon MQ

Amazon MQ utilizza la firma delle richieste AWS standard per l'autenticazione API. Per ulteriori informazioni, consulta la sezione relativa alla AWSfirma delle richieste API nella Riferimenti generali di AWS.

Nota

Attualmente, Amazon MQ non supporta l'autenticazione IAM utilizzando autorizzazioni basate sulle risorse o policy basate sulle risorse.

Per autorizzare gli utenti AWS a utilizzare broker, configurazioni e utenti, occorre modificare le autorizzazioni della policy IAM.

Autorizzazioni IAM richieste per creare un broker Amazon MQ

Per creare un broker, utilizzare la policy IAM AmazonMQFullAccess oppure includere le seguenti autorizzazioni EC2 nella policy IAM.

La seguente policy personalizzata è composta da due istruzioni (una condizionale) che concedono le autorizzazioni per manipolare le risorse richieste da Amazon MQ per creare un broker ActiveMQ.

Importante
  • L'operazione ec2:CreateNetworkInterface è necessaria per consentire ad Amazon MQ di creare un'interfaccia di rete elastica (ENI) nell'account a tuo nome.

  • L'operazione ec2:CreateNetworkInterfacePermission autorizza Amazon MQ a collegare l'ENI a un broker ActiveMQ.

  • La chiave di condizione ec2:AuthorizedService garantisce che le autorizzazioni ENI possano essere concesse solo ad account del servizio Amazon MQ.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }

Per ulteriori informazioni, consulta Passaggio 2: crea un utente e ottieni le tue credenziali AWS e Non modificare né eliminare mai l'interfaccia di rete elastica Amazon MQ.

Riferimento alle autorizzazioni API REST di Amazon MQ

Nella tabella seguente vengono elencate le API REST di Amazon MQ e le autorizzazioni IAM corrispondenti.

API REST di Amazon MQ e autorizzazioni necessarie
API REST di Amazon MQ Autorizzazioni richieste
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Autorizzazioni a livello di risorsa supportate per le operazioni API di Amazon MQ

Il concetto di autorizzazioni a livello di risorsa indica la possibilità di specificare le risorse su cui gli utenti sono autorizzati a eseguire operazioni. Amazon MQ supporta parzialmente le autorizzazioni a livello di risorsa. Per determinate operazioni di Amazon MQ, puoi controllare se gli utenti sono autorizzati a utilizzarle in base a condizioni che devono essere soddisfatte o a specifiche risorse che gli utenti sono autorizzati a utilizzare.

La tabella seguente descrive le operazioni API di Amazon MQ che attualmente supportano le autorizzazioni a livello di risorsa, nonché le risorse supportate, gli ARN di risorsa e le chiavi di condizione per ciascuna operazione.

Importante

Se un'operazione API di Amazon MQ non è presente in questa tabella, significa che non supporta le autorizzazioni a livello di risorsa. Se un'operazione API di Amazon MQ non supporta le autorizzazioni a livello di risorsa, puoi concedere agli utenti l'autorizzazione per utilizzare l'operazione, ma dovrai specificare il carattere jolly * per l'elemento di risorsa della tua dichiarazione di policy.