Amazon MQ for RabbitMQ ブローカーのユーザー
すべての AMQP 0-9-1 クライアント接続には関連付けられたユーザーがあり、認証される必要があります。各クライアント接続は仮想ホスト (vhost) もターゲットにしており、ユーザーにはこのホストに対する一連の許可が必要です。ユーザーは、vhost 内のキューとエクスチェンジに対して設定、書き込み、および読み込みを行う許可を持つことができます。ユーザーの認証情報、およびターゲット vhost は、接続の確立時に指定されます。
Amazon MQ for RabbitMQ ブローカーを初めて作成する場合、Amazon MQ は、指定されたサインイン認証情報を使用して、administrator タグで RabbitMQ ユーザーを作成します。その後、RabbitMQ Management API
注記
RabbitMQ ユーザーは、Amazon MQ のユーザー API 経由で保存または表示されません。
重要
Amazon MQ for RabbitMQ では、ユーザー名「guest」はサポートされず、デフォルトのゲストアカウントは新しいブローカーの作成時に削除されます。ユーザーが作成した「guest」というアカウントも、Amazon MQ によって定期的に削除されます。
RabbitMQ Management API を使用して新しいユーザーを作成するには、以下の API エンドポイントとリクエストボディを使用します。ユーザー名とパスワードを、新しいサインイン認証情報に置き換えます。
PUT /api/users/usernameHTTP/1.1 {"password":"password","tags":"administrator"}
重要
-
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はブローカーのユーザー名に追加しないでください。ブローカーのユーザー名は、CloudWatch Logs を含む他の AWS サービスからアクセスできます。ブローカーのユーザー名は、プライベートデータや機密データとして使用することを意図していません。
-
ブローカーの作成時に設定した管理者パスワードを忘れた場合は、認証情報をリセットできません。複数の管理者を作成した場合は、別の管理者ユーザーを使用してログインし、認証情報をリセットまたは再作成できます。管理者ユーザーが 1 人しかない場合は、ブローカーを削除し、新しい認証情報で新しいブローカーを作成する必要があります。ブローカーを削除する前に、メッセージを使用またはバックアップすることをお勧めします。
tags キーは必須です。これは、ユーザーのタグのカンマで区切られたリストです。Amazon MQ は、administrator、management、monitoring、および policymaker ユーザータグをサポートします。
個々のユーザーに対する許可は、以下の API エンドポイントとリクエストボディを使用して設定できます。vhost および username を、独自の情報に置き換えます。デフォルト vhost / には、%2F を使用します。
PUT /api/permissions/vhost/usernameHTTP/1.1 {"configure":".*","write":".*","read":".*"}
注記
configure、read、および write キーはすべて必須です。
ワイルドカード .* 値を使用することによって、このオペレーションは、指定された vhost 内のすべてのキューに対する読み取り、書き込み、および設定許可をユーザーに付与します。RabbitMQ Management API を使用したユーザーの管理の詳細については、「RabbitMQ Management HTTP API
