Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# ARN-Unterstützung in der RabbitMQ-Konfiguration
<a name="arn-support-rabbitmq-configuration"></a>

Amazon MQ for RabbitMQ unterstützt AWS ARNs die Werte einiger RabbitMQ-Konfigurationseinstellungen. [Dies wird durch das RabbitMQ-Community-Plugin rabbitmq-aws ermöglicht.](https://github.com/amazon-mq/rabbitmq-aws) Dieses Plugin wurde von Amazon MQ entwickelt und verwaltet und kann auch in selbst gehosteten RabbitMQ-Brokern verwendet werden, die nicht von Amazon MQ verwaltet werden.

**Wichtige Überlegungen**  
Die vom aws-Plugin abgerufenen aufgelösten ARN-Werte werden zur Laufzeit direkt an den RabbitMQ-Prozess übergeben. Sie werden nicht an anderer Stelle auf dem RabbitMQ-Knoten gespeichert.
Amazon MQ for RabbitMQ erfordert eine IAM-Rolle, die von Amazon MQ für den Zugriff auf die Konfiguration übernommen werden kann. ARNs Dies wird durch Einstellung konfiguriert. `aws.arns.assume_role_arn`
Benutzer, die anrufen CreateBroker oder UpdateBroker APIs über eine Broker-Konfiguration verfügen, die eine IAM-Rolle enthält, müssen über die entsprechenden `iam:PassRole` Berechtigungen verfügen.
Die IAM-Rolle muss in demselben AWS Konto wie der RabbitMQ-Broker vorhanden sein. Alle ARNs in der Konfiguration enthaltenen Elemente müssen in derselben AWS Region wie der RabbitMQ-Broker vorhanden sein.
Amazon MQ fügt globale bedingte IAM-Schlüssel hinzu `aws:SourceAccount` und `aws:SourceArn` wenn die IAM-Rolle übernommen wird. [Diese Werte müssen in der IAM-Richtlinie verwendet werden, die der Rolle für den Schutz verwirrter Stellvertreter zugewiesen ist.](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

**Topics**
+ [Unterstützte Schlüssel](#arn-support-supported-keys)
+ [Beispiele für IAM-Richtlinien](#arn-support-iam-policy-samples)
+ [Bestätigung des Zugriffs](#arn-support-validation)
+ [Verwandte Quarantänestatus des Brokers](#arn-support-quarantine-states)
+ [Beispielszenario](#arn-support-example-scenario)

## Unterstützte Schlüssel
<a name="arn-support-supported-keys"></a>

`aws.arns.assume_role_arn`  
ARN für die IAM-Rolle, die Amazon MQ für den Zugriff auf andere AWS Ressourcen annimmt. Erforderlich, wenn eine andere ARN-Konfiguration verwendet wird.

### AMQP-Endpunkt
<a name="arn-support-amqp-endpoint"></a>


| Schlüssel zur Konfiguration | Description | 
| --- | --- | 
| aws.arns.ssl\$1options.cacertfile | Zertifizierungsstellendatei für SSL/TLS Client-Verbindungen. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 

### RabbitMQ-Verwaltungs-Plugin
<a name="arn-support-management-plugin"></a>


| Schlüssel zur Konfiguration | Description | 
| --- | --- | 
| aws.arns.management.ssl.cacertfile | Zertifizierungsstellendatei für Verbindungen mit Verwaltungsschnittstellen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 

### RabbitMQ 2.0-Plugin OAuth
<a name="arn-support-oauth2-plugin"></a>


| Schlüssel zur Konfiguration | Description | 
| --- | --- | 
| aws.arns.auth\$1oauth2.https.cacertfile | Zertifizierungsstellendatei für OAuth 2.0-HTTPS-Verbindungen. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 

### RabbitMQ HTTP-Authentifizierungs-Plugin
<a name="arn-support-http-plugin"></a>


| Schlüssel zur Konfiguration | Description | 
| --- | --- | 
| aws.arns.auth\$1http.ssl\$1options.cacertfile | Zertifizierungsstellendatei für HTTP-Authentifizierungsverbindungen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 
| aws.arns.auth\$1http.ssl\$1options.certfile | Zertifikatsdatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem HTTP-Authentifizierungsserver. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 
| aws.arns.auth\$1http.ssl\$1options.keyfile | Private Schlüsseldatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem HTTP-Authentifizierungsserver. Amazon MQ erfordert die Verwendung AWS Secrets Manager zum Speichern des privaten Schlüssels. | 

### RabbitMQ LDAP-Plugin
<a name="arn-support-ldap-plugin"></a>


| Schlüssel zur Konfiguration | Description | 
| --- | --- | 
| aws.arns.auth\$1ldap.ssl\$1options.cacertfile | Zertifizierungsstellendatei für LDAP-Verbindungen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 
| aws.arns.auth\$1ldap.ssl\$1options.certfile | Zertifikatsdatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem LDAP-Server. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. | 
| aws.arns.auth\$1ldap.ssl\$1options.keyfile | Private Schlüsseldatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem LDAP-Server. Amazon MQ erfordert die Verwendung AWS Secrets Manager zum Speichern des privaten Schlüssels. | 
| aws.arns.auth\$1ldap.dn\$1lookup\$1bind.password | Passwort für die LDAP-DN-Suchverbindung. Amazon MQ erfordert die Verwendung AWS Secrets Manager , um das Passwort als Klartextwert zu speichern. | 
| aws.arns.auth\$1ldap.other\$1bind.password | Passwort für andere LDAP-Verbindungen. Amazon MQ erfordert die Verwendung AWS Secrets Manager , um das Passwort als Klartextwert zu speichern. | 

## Beispiele für IAM-Richtlinien
<a name="arn-support-iam-policy-samples"></a>

Beispiele für IAM-Richtlinien, einschließlich Richtliniendokumente für die Übernahme von Rollen und Dokumente zu Rollenrichtlinien, finden Sie in der [CDK-Beispielimplementierung](https://github.com/aws-samples/amazon-mq-samples/blob/main/rabbitmq-samples/rabbitmq-ldap-activedirectory-sample/lib/rabbitmq-activedirectory-stack.ts#L232).

Anweisungen [Verwendung der LDAP-Authentifizierung und -Autorisierung](rabbitmq-ldap-tutorial.md) zur Einrichtung AWS Secrets Manager und zu Amazon S3 S3-Ressourcen finden Sie unter.

## Bestätigung des Zugriffs
<a name="arn-support-validation"></a>

Zur Fehlerbehebung in Szenarien, in denen ARN-Werte nicht abgerufen werden können, unterstützt das aws-Plugin einen [RabbitMQ-Verwaltungs-API-Endpunkt](https://github.com/amazon-mq/rabbitmq-aws/blob/main/API.md), der aufgerufen werden kann, um zu überprüfen, ob Amazon MQ die Rolle erfolgreich übernehmen und lösen kann. AWS ARNs Dadurch entfällt die Notwendigkeit, die Broker-Konfiguration zu aktualisieren, den Broker mit der neuen Konfigurationsrevision zu aktualisieren und den Broker neu zu starten, um Konfigurationsänderungen zu testen.

**Anmerkung**  
Für die Verwendung dieser API ist ein vorhandener RabbitMQ-Administratorbenutzer erforderlich. Amazon MQ empfiehlt, zusätzlich zu anderen Zugriffsmethoden Testbroker mit einem internen Benutzer zu erstellen. Weitere Informationen finden Sie [unter Aktivieren von OAuth 2.0 und einfacher (interner) Authentifizierung](oauth-tutorial.md#oauth-tutorial-config-both-auth-methods-using-cli). Dieser Benutzer kann dann für den Zugriff auf die Validierungs-API verwendet werden.

**Anmerkung**  
Obwohl das aws-Plugin die Übergabe einer neuen Rolle als Eingabe an die Validierungs-API unterstützt, wird dieser Parameter von Amazon MQ nicht unterstützt. Die für die Validierung verwendete IAM-Rolle sollte dem Wert von `aws.arns.assume_role_arn` in der Broker-Konfiguration entsprechen.

## Verwandte Quarantänestatus des Brokers
<a name="arn-support-quarantine-states"></a>

Informationen zu den Quarantänestatus von Brokern im Zusammenhang mit ARN-Supportproblemen finden Sie unter:
+ [RABBITMQ\$1INVALID\$1ASSUMEROLE](troubleshooting-action-required-codes-invalid-assumerole.md)
+ [RABBITMQ\$1INVALID\$1ARN\$1LDAP](troubleshooting-action-required-codes-invalid-arn-ldap.md)
+ [RABBITMQ\$1UNGÜLTIG\$1ARN](troubleshooting-action-required-codes-invalid-arn.md)

## Beispielszenario
<a name="arn-support-example-scenario"></a>
+ Der Broker `b-f0fc695e-2f9c-486b-845a-988023a3e55b` wurde so konfiguriert, dass er die IAM-Rolle für den Zugriff auf geheime Daten verwendet `<role>` AWS Secrets Manager `<arn>`
+ Wenn die Amazon MQ zur Verfügung gestellte Rolle keine Leseberechtigung für das AWS Secrets Manager Geheimnis hat, wird der folgende Fehler in den RabbitMQ-Protokollen angezeigt:

  ```
  [error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}
  ```

  Darüber hinaus wechselt der Broker in den Quarantänestatus. `INVALID_ASSUMEROLE` Weitere Informationen finden Sie unter [INVALID\$1ASSUMEROLE](troubleshooting-action-required-codes-invalid-assumerole.md).
+ LDAP-Authentifizierungsversuche schlagen mit dem folgenden Fehler fehl:

  ```
  [error] <0.254.0> LDAP bind failed: invalid_credentials
  ```
+ Korrigieren Sie die IAM-Rolle mit den richtigen Berechtigungen
+ Rufen Sie den Validierungsendpunkt auf, um zu überprüfen, ob RabbitMQ jetzt auf das Geheimnis zugreifen kann:

  ```
  curl -4su 'guest:guest' -XPUT -H 'content-type: application/json' <broker-endpoint>/api/aws/arn/validate -d '{"assume_role_arn":"arn:aws:iam::<account-id>:role/<role-name>","arns":["arn:aws:secretsmanager:<region>:<account-id>:secret:<secret-name>"]}' | jq '.'
  ```