建立 Amazon MQ 代理程式所需的 IAM 許可 REST API 許可參考支援的資源層級許可

Amazon MQ 的 API 身分驗證和授權

Amazon MQ 會使用標準 AWS 請求簽署，進行 API 身分驗證。如需詳細資訊，請參閱《AWS 一般參考》AWS中的簽署 API 請求。

注意

目前，Amazon MQ 不支援使用資源型許可或資源型政策，進行 IAM 身分驗證。

若要授權 AWS 使用者可以使用代理程式、組態和使用者，您必須編輯 IAM 政策許可。

主題

建立 Amazon MQ 代理程式所需的 IAM 許可
Amazon MQ REST API 許可參考
Amazon MQ API 動作的資源層級許可

建立 Amazon MQ 代理程式所需的 IAM 許可

若要建立代理程式，您必須使用 AmazonMQFullAccess IAM 政策或是將下列 EC2 許可納入 IAM 政策。

以下自訂政策包含兩個陳述式 (一個條件式)，其會授予許可以操作 Amazon MQ 建立 ActiveMQ 代理程式所需的資源。

重要

需要 ec2:CreateNetworkInterface 動作，才能允許 Amazon MQ 代表您在帳戶中建立彈性網路界面 (ENI)。
ec2:CreateNetworkInterfacePermission 動作會授權 Amazon MQ，將 ENI 連接到 ActiveMQ 代理程式。
ec2:AuthorizedService 條件金鑰可確保僅能將 ENI 許可授予 Amazon MQ 服務帳戶。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

如需詳細資訊，請參閱步驟 2：建立使用者並取得您的 AWS 憑證及永不修改或刪除 Amazon MQ 彈性網路界面。

Amazon MQ REST API 許可參考

下表列出 Amazon MQ REST API 和對應的 IAM 許可。

Amazon MQ REST API 和必要許可
Amazon MQ REST API	所需的許可
`CreateBroker`	`mq:CreateBroker`
`CreateConfiguration`	`mq:CreateConfiguration`
`CreateTags`	`mq:CreateTags`
`CreateUser`	`mq:CreateUser`
`DeleteBroker`	`mq:DeleteBroker`
`DeleteUser`	`mq:DeleteUser`
`DescribeBroker`	`mq:DescribeBroker`
`DescribeConfiguration`	`mq:DescribeConfiguration`
`DescribeConfigurationRevision`	`mq:DescribeConfigurationRevision`
`DescribeUser`	`mq:DescribeUser`
`ListBrokers`	`mq:ListBrokers`
`ListConfigurationRevisions`	`mq:ListConfigurationRevisions`
`ListConfigurations`	`mq:ListConfigurations`
`ListTags`	`mq:ListTags`
`ListUsers`	`mq:ListUsers`
`RebootBroker`	`mq:RebootBroker`
`UpdateBroker`	`mq:UpdateBroker`
`UpdateConfiguration`	`mq:UpdateConfiguration`
`UpdateUser`	`mq:UpdateUser`

Amazon MQ API 動作的資源層級許可

資源層級許可一詞是指能夠讓您指定使用者可執行動作的資源。Amazon MQ 支援部分的資源層級許可。針對特定 Amazon MQ 動作，您可以根據應滿足的條件，或允許使用者使用特定的資源，控制使用者何時可以使用那些動作。

下表說明目前支援資源層級許可的 Amazon MQ API 動作，以及每個動作支援的資源、資源 ARN 和條件金鑰。

重要

若在此資料表中並未列出某個 Amazon MQ API 動作，表示該動作目前不支援資源層級許可。若 Amazon MQ API 動作不支援資源層級許可，您可以授予使用者使用此動作的許可，但您必須針對政策陳述式中的資源元素指定 * 萬用字元。

API 動作	資源類型 (*必填項目)
`CreateConfiguration`	組態*
`CreateTags`	代理程式、組態
`CreateUser`	中介裝置*
`DeleteBroker`	中介裝置*
`DeleteUser`	中介裝置*
`DescribeBroker`	中介裝置*
`DescribeConfiguration`	組態*
`DescribeConfigurationRevision`	組態*
`DescribeUser`	中介裝置*
`ListConfigurationRevisions`	組態*
`ListConfigurationRevisions`	組態*
`ListTags`	代理程式、組態
`ListUsers`	中介裝置*
`RebootBroker`	中介裝置*
`UpdateBroker`	中介裝置*
`UpdateConfiguration`	組態*
`UpdateUser`	中介裝置*

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

身分型政策範例

AWS 受管政策