Amazon MQ 브로커 생성에 필요한 IAM 권한 REST API 권한 참조 지원되는 리소스 수준 권한

Amazon MQ에 대한 API 인증 및 권한 부여

Amazon MQ는 API 인증에 표준 AWS 요청 서명을 사용합니다. 자세한 내용은 AWS 일반 참조의 AWS API 요청 서명을 참조하세요.

참고

현재 Amazon MQ는 리소스 기반 권한 또는 리소스 기반 정책을 사용한 IAM 인증을 지원하지 않습니다.

AWS 사용자에게 브로커, 구성 및 사용자에 대해 작업할 수 있는 권한을 부여하려면 IAM 정책 권한을 편집해야 합니다.

주제

Amazon MQ 브로커 생성에 필요한 IAM 권한
Amazon MQ REST API 권한 참조
Amazon MQ API 작업에 대한 리소스 수준 권한

Amazon MQ 브로커 생성에 필요한 IAM 권한

브로커를 생성하려면 AmazonMQFullAccess IAM 정책을 사용하거나 IAM 정책에 다음 EC2 권한을 포함해야 합니다.

다음 사용자 지정 정책은 Amazon MQ에서 ActiveMQ 브로커를 생성하는 데 필요한 리소스를 조작할 수 있는 권한을 부여하는 두 개의 문(한 개는 조건문)으로 구성됩니다.

중요

ec2:CreateNetworkInterface 작업은 Amazon MQ가 사용자를 대신하여 사용자 계정에서 탄력적 네트워크 인터페이스(ENI)를 생성하도록 허용하는 데 필요합니다.
ec2:CreateNetworkInterfacePermission 작업은 Amazon MQ가 ENI를 ActiveMQ 브로커에 연결하도록 승인합니다.
ec2:AuthorizedService 조건 키는 Amazon MQ 서비스 계정에만 ENI 권한을 부여할 수 있도록 보장합니다.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

자세한 내용은 2단계: 사용자 생성 및 AWS 자격 증명 가져오기 및 Amazon MQ 탄력적 네트워크 인터페이스를 수정하거나 삭제하지 않음 단원을 참조하세요.

Amazon MQ REST API 권한 참조

다음 표에는 Amazon MQ REST API 및 해당 IAM 권한이 나열되어 있습니다.

Amazon MQ REST API 및 필요한 권한
Amazon MQ REST API	필요한 권한
`CreateBroker`	`mq:CreateBroker`
`CreateConfiguration`	`mq:CreateConfiguration`
`CreateTags`	`mq:CreateTags`
`CreateUser`	`mq:CreateUser`
`DeleteBroker`	`mq:DeleteBroker`
`DeleteUser`	`mq:DeleteUser`
`DescribeBroker`	`mq:DescribeBroker`
`DescribeConfiguration`	`mq:DescribeConfiguration`
`DescribeConfigurationRevision`	`mq:DescribeConfigurationRevision`
`DescribeUser`	`mq:DescribeUser`
`ListBrokers`	`mq:ListBrokers`
`ListConfigurationRevisions`	`mq:ListConfigurationRevisions`
`ListConfigurations`	`mq:ListConfigurations`
`ListTags`	`mq:ListTags`
`ListUsers`	`mq:ListUsers`
`RebootBroker`	`mq:RebootBroker`
`UpdateBroker`	`mq:UpdateBroker`
`UpdateConfiguration`	`mq:UpdateConfiguration`
`UpdateUser`	`mq:UpdateUser`

Amazon MQ API 작업에 대한 리소스 수준 권한

리소스 수준 권한이란 사용자가 작업을 수행할 수 있는 리소스를 지정하는 기능을 말합니다. Amazon MQ는 리소스 수준 권한을 부분적으로 지원합니다. 특정 Amazon MQ 작업의 경우, 이행해야 하는 조건 또는 사용자가 사용할 수 있는 특정 리소스를 기반으로 사용자가 해당 작업을 언제 사용할 수 있는지를 제어할 수 있습니다.

다음 표에서는 현재 리소스 수준 권한을 지원하는 Amazon MQ API 작업과 각 작업에 지원되는 리소스, 리소스 ARN 및 조건 키를 설명합니다.

중요

이 표에 표시되지 않은 Amazon MQ API 작업은 리소스 수준 권한을 지원하지 않습니다. Amazon MQ API 작업이 리소스 수준 권한을 지원하지 않는 경우, 사용자에게 이 작업을 사용할 권한을 부여할 수 있지만 정책 설명의 리소스 요소에 * 와일드카드를 지정해야 합니다.

API 작업	리소스 유형(*필수)
`CreateConfiguration`	구성*
`CreateTags`	브로커, 구성
`CreateUser`	브로커*
`DeleteBroker`	브로커*
`DeleteUser`	브로커*
`DescribeBroker`	브로커*
`DescribeConfiguration`	구성*
`DescribeConfigurationRevision`	구성*
`DescribeUser`	브로커*
`ListConfigurationRevisions`	구성*
`ListConfigurationRevisions`	구성*
`ListTags`	브로커, 구성
`ListUsers`	브로커*
`RebootBroker`	브로커*
`UpdateBroker`	브로커*
`UpdateConfiguration`	구성*
`UpdateUser`	브로커*

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

자격 증명 기반 정책 예제

AWS 관리형 정책