翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MQ の API 認証と認可
Amazon MQ は、API 認証に標準の AWS リクエスト署名を使用します。詳細については、『AWS』の「AWS 全般のリファレンス API リクエストの署名」を参照してください。
注記
現在、Amazon MQ はリソースベースの許可またはリソースベースのポリシーを使用した IAM 認証をサポートしていません。
ブローカー、設定、およびユーザーでの作業を AWS ユーザーに認可するには、IAM ポリシー許可を編集する必要があります。
Amazon MQ ブローカーを作成するために必要な IAM 許可
ブローカーを作成するには、AmazonMQFullAccess
IAM ポリシーを使用するか、以下の EC2 許可を IAM ポリシーに含める必要があります。
以下のカスタムポリシーは、ActiveMQ ブローカーを作成するために Amazon MQ が必要とするリソースを操作するための許可を付与する 2 つのステートメント (1 つは条件付き) で構成されています。
重要
-
ec2:CreateNetworkInterface
アクションは、ユーザーに代わってアカウントに Elastic Network Interface (ENI) を作成することを Amazon MQ に許可するために必要です。 -
ec2:CreateNetworkInterfacePermission
アクションは、Amazon MQ が ENI を ActiveMQ ブローカーにアタッチすることを認可します。 -
ec2:AuthorizedService
条件キーは、ENI 許可が Amazon MQ サービスアカウントのみに付与されることを確実にします。
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }
詳細については、ステップ 2: ユーザーを作成して AWS 認証情報を取得する および Amazon MQ Elastic Network Interface を変更または削除しない を参照してください。
Amazon MQ REST API 許可リファレンス
以下の表には、Amazon MQ REST API と、それらに対応する IAM 許可がリストされています。
Amazon MQ REST API と必要な許可 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Amazon MQ REST API | 必要な許可 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateBroker |
mq:CreateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateConfiguration |
mq:CreateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateTags |
mq:CreateTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateUser |
mq:CreateUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteBroker |
mq:DeleteBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteUser |
mq:DeleteUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeBroker |
mq:DescribeBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfiguration |
mq:DescribeConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfigurationRevision |
mq:DescribeConfigurationRevision |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeUser |
mq:DescribeUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListBrokers |
mq:ListBrokers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurationRevisions |
mq:ListConfigurationRevisions |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurations |
mq:ListConfigurations |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListTags |
mq:ListTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListUsers |
mq:ListUsers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RebootBroker |
mq:RebootBroker
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateBroker |
mq:UpdateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateConfiguration |
mq:UpdateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateUser |
mq:UpdateUser |
Amazon MQ API アクションに対するリソースレベルの許可
リソースレベルの許可とは、ユーザーがアクションを実行できるリソースを指定する能力を意味します。Amazon MQ は、リソースレベルの許可を部分的にサポートします。特定の Amazon MQ アクションでは、満たす必要がある条件、またはユーザーが使用できる特定のリソースに基づいて、ユーザーにこれらのアクションの使用が許可されるタイミングを制御できます。
以下の表では、現在リソースレベルの許可をサポートしている Amazon MQ API アクションと、各アクションに対してサポートされるリソース、リソース ARN、条件キーを説明します。
重要
Amazon MQ API アクションがこの表に示されていない場合、そのアクションはリソースレベルの許可をサポートしていません。Amazon MQ API アクションがリソースレベルの許可をサポートしない場合、アクションを使用する許可をユーザーに付与できますが、ポリシーステートメントのリソース要素にワイルドカード (*) を指定する必要があります。