Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurierbare Werte
Sie können den Wert der folgenden Broker-Konfigurationsoptionen festlegen, indem Sie die Broker-Konfigurationsdatei in der ändern AWS-Managementkonsole.
Zusätzlich zu den in der folgenden Tabelle beschriebenen Werten unterstützt Amazon MQ zusätzliche Broker-Konfigurationsoptionen in Bezug auf Authentifizierung und Autorisierung sowie Ressourcenlimits. Weitere Informationen zu diesen Konfigurationsoptionen finden Sie unter
+ [OAuth 2.0-Konfiguration](configure-oauth2.md)
+ [LDAP-Konfiguration](configure-ldap.md)
+ [HTTP-Konfiguration](configure-http.md)
+ [SSL-Konfiguration](configure-ssl.md)
+ [mTLS-Konfiguration](configure-mtls.md)
+ [ARN-Unterstützung](arn-support-rabbitmq-configuration.md)
+ [Ressourcenlimits](rabbitmq-resource-limits-configuration.md)
+ [SSL-Konfiguration des AMQP-Clients](rabbitmq-amqp-client-ssl-configuration.md)
| Konfiguration | Standardwert | Empfohlener Wert | Werte | Anwendbare Versionen | Description |
| --- | --- | --- | --- | --- | --- |
| consumer\$1timeout | 1800000 ms (30 Minuten) | 1800000 ms (30 Minuten) | 0 bis 2.147.483.647 ms. Amazon MQ unterstützt auch den Wert 0, was „unendlich“ bedeutet. | Alle Versionen | Ein Timeout bei der Lieferbestätigung für Verbraucher, um festzustellen, wann Verbraucher keine Lieferungen verpassen. |
| Herzschlag | 60 Sekunden | 60 Sekunden | 60 bis 3600 Sekunden | Alle Versionen | Definiert die Zeit, bevor eine Verbindung von RabbitMQ als nicht verfügbar angesehen wird. |
| management.restrictions.operator\$1policy\$1changes.disabled | true | true | true, false | Alle Versionen | Deaktiviert das Vornehmen von Änderungen an den Betreiberrichtlinien. Wenn Sie diese Änderung vornehmen, wird Ihnen dringend empfohlen, die HA-Eigenschaften in Ihre eigenen Betreiberrichtlinien aufzunehmen. |
| quorum\$1queue.property\$1equivalence.relaxed\$1checks\$1on\$1redeclaration | true | true | true, false | Alle Versionen | Wenn dieser Wert auf TRUE gesetzt ist, vermeidet Ihre Anwendung beim erneuten Deklarieren einer Quorum-Warteschlange eine Kanalausnahme. |
| secure.management.http.headers.enabled | true | true | true, false | Alle Versionen | Aktiviert unveränderbare HTTP-Sicherheitsheader. |
## Konfiguration der Empfangsbestätigung für Verbraucher
Sie können consumer\$1timeout so konfigurieren, dass erkannt wird, wenn Verbraucher keine Lieferungen verpassen. Wenn der Verbraucher innerhalb des Timeout-Werts keine Bestätigung sendet, wird der Kanal geschlossen. Wenn Sie beispielsweise den Standardwert 1800000 Millisekunden verwenden und der Verbraucher innerhalb von 1800000 Millisekunden keine Empfangsbestätigung sendet, wird der Kanal geschlossen. Amazon MQ unterstützt auch den Wert 0, was „unendlich“ bedeutet.
## Heartbeat konfigurieren
Sie können ein Heartbeat-Timeout konfigurieren, um herauszufinden, wann Verbindungen unterbrochen oder ausgefallen sind. Der Heartbeat-Wert definiert das Zeitlimit, bis eine Verbindung als ausgefallen betrachtet wird.
## Konfiguration von Betreiberrichtlinien
Die standardmäßige Operatorrichtlinie auf jedem virtuellen Host enthält die folgenden empfohlenen HA-Eigenschaften:
```
{
"name": "default_operator_policy_AWS_managed",
"pattern": ".*",
"apply-to": "all",
"priority": 0,
"definition": {
"ha-mode": "all",
"ha-sync-mode": "automatic"
}
}
```
Änderungen an den Betreiberrichtlinien über die AWS-Managementkonsole oder die Management-API sind standardmäßig nicht verfügbar. Sie können Änderungen aktivieren, indem Sie der Broker-Konfiguration die folgende Zeile hinzufügen:
```
management.restrictions.operator_policy_changes.disabled=false
```
Wenn Sie diese Änderung vornehmen, wird Ihnen dringend empfohlen, die HA-Eigenschaften in Ihre eigenen Betreiberrichtlinien aufzunehmen.
## Konfiguration von gelockerten Prüfungen bei der Warteschlangendeklaration
Wenn Sie Ihre klassischen Warteschlangen auf Quorumwarteschlangen migriert, aber Ihren Client-Code nicht aktualisiert haben, können Sie beim erneuten Deklarieren einer Quorumwarteschlange eine Kanalausnahme vermeiden, indem Sie quorum\$1queue.property\$1equivalence.relaxed\$1checks\$1on\$1redeclaration auf true setzen.
## Konfiguration von HTTP-Sicherheitsheadern
Die secure.management.http.headers.enabled-Konfiguration aktiviert die folgenden HTTP-Sicherheitsheader:
+ [X-Content-Type-Options: nosniff: verhindert, dass Browser Content Sniffing](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options) durchführen. Dabei handelt es sich um Algorithmen, die verwendet werden, um das Dateiformat von Websites abzuleiten.
+ [X-Frame-Options: DENY: verhindert, dass andere das Verwaltungs-Plugin](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options) in einen Frame auf ihrer eigenen Website einbetten, um andere zu täuschen
+ [Strict-Transport-Security: max-age=47304000; includeSubDomains](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security): zwingt Browser dazu, HTTPS zu verwenden, wenn sie über einen längeren Zeitraum (1,5 Jahre) weitere Verbindungen zur Website und ihren Subdomains herstellen.
Für Amazon MQ for RabbitMQ-Broker, die mit Versionen 3.10 und höher erstellt wurden, ist secure.management.http.headers.enabled standardmäßig auf true gesetzt. Sie können diese HTTP-Sicherheitsheader aktivieren, indem Sie secure.management.http.headers.enabled auf true setzen. Wenn Sie diese HTTP-Sicherheitsheader deaktivieren möchten, setzen Sie secure.management.http.headers.enabled auf false.
# Konfiguration der Authentifizierung und Autorisierung 2.0 OAuth
Informationen zu den OAuth 2.0-Konfigurationsoptionen und zur Einrichtung der OAuth 2.0-Authentifizierung für Ihre Broker finden Sie unter [Unterstützte OAuth 2.0-Konfigurationen](oauth-for-amq-for-rabbitmq.md#oauth-tutorial-supported-configs) und [Verwenden der OAuth 2.0-Authentifizierung und -Autorisierung](oauth-tutorial.md).
# Konfiguration der LDAP-Authentifizierung und -Autorisierung
Informationen zu den LDAP-Konfigurationsoptionen und zur Einrichtung der LDAP-Authentifizierung für Ihre Broker finden Sie unter [Unterstützte LDAP-Konfigurationen](ldap-for-amq-for-rabbitmq.md#ldap-supported-configs) und. [Verwendung der LDAP-Authentifizierung und -Autorisierung](rabbitmq-ldap-tutorial.md)
# Konfiguration der HTTP-Authentifizierung und -Autorisierung
Informationen zu den Konfigurationswerten für die HTTP-Authentifizierung und zur Einrichtung der HTTP-Authentifizierung für Ihre Broker finden Sie unter [HTTP-Authentifizierung](http-for-amq-for-rabbitmq.md) und -Autorisierung und. [Verwendung der HTTP-Authentifizierung und -Autorisierung](rabbitmq-http-tutorial.md)
**Anmerkung**
Das HTTP-Authentifizierungs-Plugin ist nur für Amazon MQ für RabbitMQ Version 4 und höher verfügbar.
# Konfiguration der SSL-Zertifikatsauthentifizierung
Informationen zu den Konfigurationswerten für die SSL-Zertifikatsauthentifizierung und zur Einrichtung der SSL-Zertifikatsauthentifizierung für Ihre Broker finden Sie unter [SSL-Zertifikatsauthentifizierung](ssl-for-amq-for-rabbitmq.md) und. [Verwendung der SSL-Zertifikatsauthentifizierung](rabbitmq-ssl-tutorial.md)
**Anmerkung**
Das SSL-Zertifikat-Authentifizierungs-Plugin ist nur für Amazon MQ für RabbitMQ Version 4 und höher verfügbar.
# Konfiguration von mTLS
Amazon MQ for RabbitMQ unterstützt Mutual TLS (mTLS) für sichere Verbindungen zu verschiedenen Endpunkten und externen Diensten. mTLS bietet erhöhte Sicherheit, da sich sowohl Client als auch Server mithilfe von Zertifikaten authentifizieren müssen.
**Anmerkung**
Die Verwendung von privaten Zertifizierungsstellen für mTLS ist nur für Amazon MQ for RabbitMQ Version 4 und höher verfügbar.
**Wichtig**
Amazon MQ for RabbitMQ erzwingt die Verwendung von AWS ARNs für Zertifikate und private Schlüsseldateien. Weitere Informationen [finden Sie unter ARN-Unterstützung in der RabbitMQ-Konfiguration](arn-support-rabbitmq-configuration.md).
**Topics**
+ [
## AMQP-Endpunkt
](#mtls-amqp-endpoint)
+ [
## RabbitMQ-Verwaltungs-Plugin
](#mtls-management-plugin)
+ [
## RabbitMQ 2.0-Plugin OAuth
](#mtls-oauth2-plugin)
+ [
## RabbitMQ HTTP-Authentifizierungs-Plugin
](#mtls-http-plugin)
+ [
## RabbitMQ LDAP-Plugin
](#mtls-ldap-plugin)
+ [
## AMQP-Client-Verbindungen
](#mtls-amqp-client)
## AMQP-Endpunkt
Konfigurieren Sie mTLS für Client-Verbindungen zum AMQP-Endpunkt. Dies wird bei der SSL-Zertifikatsauthentifizierung verwendet. Informationen zu unterstützten Konfigurationen finden Sie unter[Authentifizierung mit SSL-Zertifikaten](ssl-for-amq-for-rabbitmq.md).
## RabbitMQ-Verwaltungs-Plugin
Konfigurieren Sie mTLS für Verbindungen zur RabbitMQ-Verwaltungsoberfläche.
**Anmerkung**
Strict mTLS wird für die Management-API nicht unterstützt.
`aws.arns.management.ssl.cacertfile`
Zertifizierungsstellendatei zur Überprüfung von Client-Zertifikaten, die eine Verbindung zur Verwaltungsschnittstelle herstellen.
`management.ssl.verify`
Peer-Verifizierungsmodus. Unterstützte Werte:`verify_none`, `verify_peer`
`management.ssl.depth`
Maximale Tiefe der Zertifikatskette für die Überprüfung.
`management.ssl.hostname_verification`
Modus zur Überprüfung des Hostnamens. Unterstützte Werte:`wildcard`, `none`
Die folgenden SSL-Konfigurationswerte werden nicht unterstützt:
### Vollständige Liste anzeigen
+ `management.ssl.cert`
+ `management.ssl.client_renegotiation`
+ `management.ssl.dh`
+ `management.ssl.dhfile`
+ `management.ssl.fail_if_no_peer_cert`
+ `management.ssl.honor_cipher_order`
+ `management.ssl.honor_ecc_order`
+ `management.ssl.key.RSAPrivateKey`
+ `management.ssl.key.DSAPrivateKey`
+ `management.ssl.key.PrivateKeyInfo`
+ `management.ssl.log_alert`
+ `management.ssl.password`
+ `management.ssl.psk_identity`
+ `management.ssl.reuse_sessions`
+ `management.ssl.secure_renegotiate`
+ `management.ssl.versions.$version`
+ `management.ssl.sni`
## RabbitMQ 2.0-Plugin OAuth
Konfigurieren Sie mTLS für Verbindungen von Amazon MQ zum OAuth 2.0-Identitätsanbieter. Informationen zu unterstützten Konfigurationen finden Sie unter. [OAuth 2.0 Authentifizierung und Autorisierung](oauth-for-amq-for-rabbitmq.md)
## RabbitMQ HTTP-Authentifizierungs-Plugin
Konfigurieren Sie mTLS für Verbindungen von Amazon MQ zum HTTP-Authentifizierungsserver. Informationen zu unterstützten Konfigurationen finden Sie unter. [HTTP-Authentifizierung und Autorisierung](http-for-amq-for-rabbitmq.md)
## RabbitMQ LDAP-Plugin
Konfigurieren Sie mTLS für Verbindungen von Amazon MQ zum LDAP-Server. Informationen zu unterstützten Konfigurationen finden Sie unter. [LDAP-Authentifizierung und -Autorisierung](ldap-for-amq-for-rabbitmq.md)
## AMQP-Client-Verbindungen
Konfigurieren Sie die TLS-Peer-Verifizierung für AMQP-Clientverbindungen, die von Federation und Shovel verwendet werden. Weitere Informationen finden Sie unter SSL-Konfiguration des [AMQP-Clients](rabbitmq-amqp-client-ssl-configuration.md).
**Wichtig**
Amazon MQ unterstützt derzeit nicht die Konfiguration von Client-Zertifikaten für AMQP-Clientverbindungen. Aus diesem Grund können Federation and Shovel keine Verbindung zu MTLS-fähigen Brokern herstellen, für die eine Client-Zertifikatsauthentifizierung erforderlich ist.
# Konfiguration des Ressourcenlimits
Amazon MQ for RabbitMQ unterstützt die Konfiguration von Broker-Ressourcenlimits ab RabbitMQ 4. Wenn Sie einen Broker erstellen, wendet Amazon MQ automatisch Standardwerte auf diese Ressourcenlimits an. Diese Standardwerte dienen als Schutzmaßnahmen, um die Verfügbarkeit Ihres Brokers zu schützen und gleichzeitig den gängigen Nutzungsmustern der Kunden Rechnung zu tragen. Sie können das Verhalten Ihres Brokers anpassen, indem Sie die Werte für die Konfiguration der Grenzwerte so ändern, dass sie Ihren spezifischen Workload-Anforderungen besser entsprechen. Weitere Informationen zu den zulässigen Standard- und Höchstwerten finden Sie unter[Größenrichtlinien für Amazon MQ für RabbitMQ](rabbitmq-sizing-guidelines.md).
## Ressourcennamen und Konfigurationsschlüssel
| Ressourcenname | Konfigurationsschlüssel |
| --- | --- |
| Connection (Verbindung) | connection\$1max |
| Kanal | channel\$1max\$1per\$1node |
| Warteschlange | cluster\$1queue\$1limit |
| Vhost | vhost\$1max |
| Schaufel | runtime\$1parameters.limits.shovel |
| Exchange | cluster\$1exchange\$1limit |
| Verbraucher pro Kanal | consumer\$1max\$1per\$1channel |
| Maximale Nachrichtengröße | max\$1message\$1size |
## Wie überschreibt man Ressourcenlimits
Sie können Ressourcenlimits mithilfe der Amazon MQ MQ-API und der Amazon MQ MQ-Konsole überschreiben.
Das folgende Beispiel zeigt, wie Sie das Standardlimit für die Anzahl der Warteschlangen mithilfe von überschreiben können: AWS CLI
```
aws mq update-configuration --configuration-id --data "$(echo "cluster_queue_limit=500" | base64 --wrap=0)"
```
Bei einem erfolgreichen Aufruf wird eine Konfigurationsrevision erstellt. Sie müssen die Konfiguration Ihrem RabbitMQ-Broker zuordnen und den Broker neu starten, um die Überschreibung anzuwenden. Weitere Einzelheiten finden Sie unter [RabbitMQ Broker Configurations](rabbitmq-broker-configuration-parameters.md)
## Fehler beim Überschreiben des Ressourcenlimits
Das Zuordnen oder Erstellen eines Brokers mit Konfigurationswerten außerhalb des unterstützten Bereichs führt zu einer Fehlerantwort, die der folgenden ähnelt:
```
Configuration Revision N for configuration:cluster_queue_limit has limit: of value: 100000000 larger than maximum allowed limit:5000
```
# ARN-Unterstützung in der RabbitMQ-Konfiguration
Amazon MQ for RabbitMQ unterstützt AWS ARNs die Werte einiger RabbitMQ-Konfigurationseinstellungen. [Dies wird durch das RabbitMQ-Community-Plugin rabbitmq-aws ermöglicht.](https://github.com/amazon-mq/rabbitmq-aws) Dieses Plugin wurde von Amazon MQ entwickelt und verwaltet und kann auch in selbst gehosteten RabbitMQ-Brokern verwendet werden, die nicht von Amazon MQ verwaltet werden.
**Wichtige Überlegungen**
Die vom aws-Plugin abgerufenen aufgelösten ARN-Werte werden zur Laufzeit direkt an den RabbitMQ-Prozess übergeben. Sie werden nicht an anderer Stelle auf dem RabbitMQ-Knoten gespeichert.
Amazon MQ for RabbitMQ erfordert eine IAM-Rolle, die von Amazon MQ für den Zugriff auf die Konfiguration übernommen werden kann. ARNs Dies wird durch Einstellung konfiguriert. `aws.arns.assume_role_arn`
Benutzer, die anrufen CreateBroker oder UpdateBroker APIs über eine Broker-Konfiguration verfügen, die eine IAM-Rolle enthält, müssen über die entsprechenden `iam:PassRole` Berechtigungen verfügen.
Die IAM-Rolle muss in demselben AWS Konto wie der RabbitMQ-Broker vorhanden sein. Alle ARNs in der Konfiguration enthaltenen Elemente müssen in derselben AWS Region wie der RabbitMQ-Broker vorhanden sein.
Amazon MQ fügt globale bedingte IAM-Schlüssel hinzu `aws:SourceAccount` und `aws:SourceArn` wenn die IAM-Rolle übernommen wird. [Diese Werte müssen in der IAM-Richtlinie verwendet werden, die der Rolle für den Schutz verwirrter Stellvertreter zugewiesen ist.](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)
**Topics**
+ [
## Unterstützte Schlüssel
](#arn-support-supported-keys)
+ [
## Beispiele für IAM-Richtlinien
](#arn-support-iam-policy-samples)
+ [
## Bestätigung des Zugriffs
](#arn-support-validation)
+ [
## Verwandte Quarantänestatus des Brokers
](#arn-support-quarantine-states)
+ [
## Beispielszenario
](#arn-support-example-scenario)
## Unterstützte Schlüssel
`aws.arns.assume_role_arn`
ARN für die IAM-Rolle, die Amazon MQ für den Zugriff auf andere AWS Ressourcen annimmt. Erforderlich, wenn eine andere ARN-Konfiguration verwendet wird.
### AMQP-Endpunkt
| Schlüssel zur Konfiguration | Description |
| --- | --- |
| aws.arns.ssl\$1options.cacertfile | Zertifizierungsstellendatei für SSL/TLS Client-Verbindungen. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
### RabbitMQ-Verwaltungs-Plugin
| Schlüssel zur Konfiguration | Description |
| --- | --- |
| aws.arns.management.ssl.cacertfile | Zertifizierungsstellendatei für Verbindungen mit Verwaltungsschnittstellen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
### RabbitMQ 2.0-Plugin OAuth
| Schlüssel zur Konfiguration | Description |
| --- | --- |
| aws.arns.auth\$1oauth2.https.cacertfile | Zertifizierungsstellendatei für OAuth 2.0-HTTPS-Verbindungen. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
### RabbitMQ HTTP-Authentifizierungs-Plugin
| Schlüssel zur Konfiguration | Description |
| --- | --- |
| aws.arns.auth\$1http.ssl\$1options.cacertfile | Zertifizierungsstellendatei für HTTP-Authentifizierungsverbindungen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
| aws.arns.auth\$1http.ssl\$1options.certfile | Zertifikatsdatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem HTTP-Authentifizierungsserver. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
| aws.arns.auth\$1http.ssl\$1options.keyfile | Private Schlüsseldatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem HTTP-Authentifizierungsserver. Amazon MQ erfordert die Verwendung AWS Secrets Manager zum Speichern des privaten Schlüssels. |
### RabbitMQ LDAP-Plugin
| Schlüssel zur Konfiguration | Description |
| --- | --- |
| aws.arns.auth\$1ldap.ssl\$1options.cacertfile | Zertifizierungsstellendatei für LDAP-Verbindungen. SSL/TLS Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
| aws.arns.auth\$1ldap.ssl\$1options.certfile | Zertifikatsdatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem LDAP-Server. Amazon MQ erfordert die Verwendung von Amazon S3 oder die Speicherung des Zertifikats. |
| aws.arns.auth\$1ldap.ssl\$1options.keyfile | Private Schlüsseldatei für gegenseitige TLS-Verbindungen zwischen Amazon MQ und dem LDAP-Server. Amazon MQ erfordert die Verwendung AWS Secrets Manager zum Speichern des privaten Schlüssels. |
| aws.arns.auth\$1ldap.dn\$1lookup\$1bind.password | Passwort für die LDAP-DN-Suchverbindung. Amazon MQ erfordert die Verwendung AWS Secrets Manager , um das Passwort als Klartextwert zu speichern. |
| aws.arns.auth\$1ldap.other\$1bind.password | Passwort für andere LDAP-Verbindungen. Amazon MQ erfordert die Verwendung AWS Secrets Manager , um das Passwort als Klartextwert zu speichern. |
## Beispiele für IAM-Richtlinien
Beispiele für IAM-Richtlinien, einschließlich Richtliniendokumente für die Übernahme von Rollen und Dokumente zu Rollenrichtlinien, finden Sie in der [CDK-Beispielimplementierung](https://github.com/aws-samples/amazon-mq-samples/blob/main/rabbitmq-samples/rabbitmq-ldap-activedirectory-sample/lib/rabbitmq-activedirectory-stack.ts#L232).
Anweisungen [Verwendung der LDAP-Authentifizierung und -Autorisierung](rabbitmq-ldap-tutorial.md) zur Einrichtung AWS Secrets Manager und zu Amazon S3 S3-Ressourcen finden Sie unter.
## Bestätigung des Zugriffs
Zur Fehlerbehebung in Szenarien, in denen ARN-Werte nicht abgerufen werden können, unterstützt das aws-Plugin einen [RabbitMQ-Verwaltungs-API-Endpunkt](https://github.com/amazon-mq/rabbitmq-aws/blob/main/API.md), der aufgerufen werden kann, um zu überprüfen, ob Amazon MQ die Rolle erfolgreich übernehmen und lösen kann. AWS ARNs Dadurch entfällt die Notwendigkeit, die Broker-Konfiguration zu aktualisieren, den Broker mit der neuen Konfigurationsrevision zu aktualisieren und den Broker neu zu starten, um Konfigurationsänderungen zu testen.
**Anmerkung**
Für die Verwendung dieser API ist ein vorhandener RabbitMQ-Administratorbenutzer erforderlich. Amazon MQ empfiehlt, zusätzlich zu anderen Zugriffsmethoden Testbroker mit einem internen Benutzer zu erstellen. Weitere Informationen finden Sie [unter Aktivieren von OAuth 2.0 und einfacher (interner) Authentifizierung](oauth-tutorial.md#oauth-tutorial-config-both-auth-methods-using-cli). Dieser Benutzer kann dann für den Zugriff auf die Validierungs-API verwendet werden.
**Anmerkung**
Obwohl das aws-Plugin die Übergabe einer neuen Rolle als Eingabe an die Validierungs-API unterstützt, wird dieser Parameter von Amazon MQ nicht unterstützt. Die für die Validierung verwendete IAM-Rolle sollte dem Wert von `aws.arns.assume_role_arn` in der Broker-Konfiguration entsprechen.
## Verwandte Quarantänestatus des Brokers
Informationen zu den Quarantänestatus von Brokern im Zusammenhang mit ARN-Supportproblemen finden Sie unter:
+ [RABBITMQ\$1INVALID\$1ASSUMEROLE](troubleshooting-action-required-codes-invalid-assumerole.md)
+ [RABBITMQ\$1INVALID\$1ARN\$1LDAP](troubleshooting-action-required-codes-invalid-arn-ldap.md)
+ [RABBITMQ\$1UNGÜLTIG\$1ARN](troubleshooting-action-required-codes-invalid-arn.md)
## Beispielszenario
+ Der Broker `b-f0fc695e-2f9c-486b-845a-988023a3e55b` wurde so konfiguriert, dass er die IAM-Rolle für den Zugriff auf geheime Daten verwendet `` AWS Secrets Manager ``
+ Wenn die Amazon MQ zur Verfügung gestellte Rolle keine Leseberechtigung für das AWS Secrets Manager Geheimnis hat, wird der folgende Fehler in den RabbitMQ-Protokollen angezeigt:
```
[error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}
```
Darüber hinaus wechselt der Broker in den Quarantänestatus. `INVALID_ASSUMEROLE` Weitere Informationen finden Sie unter [INVALID\$1ASSUMEROLE](troubleshooting-action-required-codes-invalid-assumerole.md).
+ LDAP-Authentifizierungsversuche schlagen mit dem folgenden Fehler fehl:
```
[error] <0.254.0> LDAP bind failed: invalid_credentials
```
+ Korrigieren Sie die IAM-Rolle mit den richtigen Berechtigungen
+ Rufen Sie den Validierungsendpunkt auf, um zu überprüfen, ob RabbitMQ jetzt auf das Geheimnis zugreifen kann:
```
curl -4su 'guest:guest' -XPUT -H 'content-type: application/json' /api/aws/arn/validate -d '{"assume_role_arn":"arn:aws:iam:::role/","arns":["arn:aws:secretsmanager:::secret:"]}' | jq '.'
```
# SSL-Konfiguration des AMQP-Clients
Federation und Shovel verwenden AMQP für die Kommunikation zwischen Upstream- und Downstream-Brokern. Standardmäßig ist die *TLS-Peer-Verifizierung* für AMQP-Clients in Amazon MQ für RabbitMQ 4 aktiviert. Mit dieser Einstellung führen Federation- und Shovel-AMQP-Clients, die auf Amazon MQ-Brokern ausgeführt werden, eine Peer-Verifizierung durch, wenn sie Verbindungen mit dem Upstream-Broker herstellen.
AMQP-Clients, die auf Amazon MQ-Brokern laufen, unterstützen dieselben Zertifizierungsstellen wie Mozilla. Wenn Sie [ACM](https://www.amazontrust.com/repository) nicht verwenden, verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, die in der [Mozilla Included](https://wiki.mozilla.org/CA/Included_Certificates) CA Certificate List aufgeführt ist. Wenn Ihr lokaler Broker Zertifikate von anderen Zertifizierungsstellen verwendet, schlägt die SSL-Überprüfung fehl. Sie können die *TLS-Peer-Verifizierung* für diese Anwendungsfälle deaktivieren.
**Wichtig**
Amazon MQ unterstützt derzeit nicht die Konfiguration von Client-Zertifikaten für AMQP-Clientverbindungen. Aus diesem Grund können Federation and Shovel keine Verbindung zu MTLS-fähigen Brokern herstellen, für die eine Client-Zertifikatsauthentifizierung erforderlich ist.
**Wichtig**
*Auf Amazon MQ für RabbitMQ 3 sind die SSL-Eigenschaften von AMQP-Clients mit den RabbitMQ-Standardeinstellungen (verify\$1none) konfiguriert.* Amazon MQ für RabbitMQ 3 unterstützt das Überschreiben dieser Standardeinstellungen nicht.
**Anmerkung**
Mit der `verify_peer` Standardeinstellung können Sie Federation- und Shovel-Verbindungen zwischen zwei beliebigen Amazon MQ-Brokern einrichten. Dies unterstützt jedoch nicht die Herstellung der Verbindung zwischen Amazon MQ-Brokern und privaten Brokern oder lokalen Brokern, die mit Nicht-Amazon MQ-CA-Zertifikaten betrieben werden. Um eine Verbindung zu privaten oder lokalen Brokern herzustellen, müssen Sie die Peer-Verifizierung auf dem nachgeschalteten Amazon MQ-Broker deaktivieren.
## SSL-Konfigurationsschlüssel für den AMQP-Client
| Konfiguration | Konfigurationsschlüssel | Unterstützte Werte |
| --- | --- | --- |
| SSL-Peer-Überprüfung für AMQP-Clients | amqp\$1client.ssl\$1options.verify | verify\$1none, verify\$1peer |
## Wie überschreibt man die SSL-Peer-Verifizierung für den AMQP-Client
Sie können die SSL-Peer-Verifizierung von AMQP-Clients mithilfe der Amazon MQ MQ-API und der Amazon MQ MQ-Konsole auf RabbitMQ 4-Brokern außer Kraft setzen.
Das folgende Beispiel zeigt, wie Sie die SSL-Peer-Verifizierung des AMQP-Clients überschreiben können, indem Sie: AWS CLI
```
aws mq update-configuration --configuration-id --data "$(echo "amqp_client.ssl_options.verify=verify_none" | base64 --wrap=0)"
```
Bei einem erfolgreichen Aufruf wird eine Konfigurationsrevision erstellt. Sie müssen die Konfiguration Ihrem RabbitMQ-Broker zuordnen und den Broker neu starten, um die Überschreibung anzuwenden. Weitere Einzelheiten finden Sie unter [Creating and applying broker configurations](rabbitmq-creating-applying-configurations.md)
**Wichtig**
Bei der Verwendung `verify_none` ist die SSL-Verschlüsselung immer noch aktiv, aber die Identität des Peers wird nicht verifiziert. Verwenden Sie diese Einstellung nur bei Bedarf und stellen Sie sicher, dass Sie dem Netzwerkpfad zum Zielbroker vertrauen.