OAuth 2.0 Authentifizierung und Autorisierung für Amazon MQ for RabbitMQ - Amazon MQ
OAuth Unterstützte 2.0-KonfigurationenZusätzliche Validierungen für die 2.0-Authentifizierung OAuth

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

OAuth 2.0 Authentifizierung und Autorisierung für Amazon MQ for RabbitMQ

Amazon MQ for RabbitMQ unterstützt die folgenden Authentifizierungs- und Autorisierungsmethoden:

Einfache Authentifizierung und Autorisierung

Bei dieser Methode werden Broker-Benutzer intern im RabbitMQ-Broker gespeichert und über die Webkonsole oder die Management-API verwaltet. Berechtigungen für Vhosts, Exchanges, Warteschlangen und Themen werden direkt in RabbitMQ konfiguriert. Dies ist die Standardmethode. Weitere Informationen zu dieser Methode finden Sie unter Broker-Benutzer.

OAuth 2.0 Authentifizierung und Autorisierung

Bei dieser Methode werden Broker-Benutzer und ihre Berechtigungen von einem externen OAuth 2.0-Identitätsanbieter (IdP) verwaltet. Benutzerauthentifizierung und Ressourcenberechtigungen für Vhosts, Exchanges, Warteschlangen und Themen werden über das Scope-System des OAuth 2.0-Anbieters zentralisiert. Dies vereinfacht die Benutzerverwaltung und ermöglicht die Integration in bestehende Identitätssysteme.

Wichtige Überlegungen

  • OAuth 2.0-Integration wird auf Amazon MQ für ActiveMQ-Broker nicht unterstützt.

  • Amazon MQ for RabbitMQ unterstützt kein Serverzertifikat, das von einer privaten Zertifizierungsstelle ausgestellt wurde.

  • Das RabbitMQ OAuth 2.0-Plugin unterstützt keine Token-Introspektion-Endpunkte und undurchsichtige Zugriffstoken. Es führt auch keine Token-Widerrufsprüfungen durch.

  • Sie müssen die IAM-Berechtigung angebenmq:UpdateBrokerAccessConfiguration, um OAuth 2.0 auf vorhandenen Brokern zu aktivieren.

  • Amazon MQ erstellt automatisch einen Systembenutzer monitoring-AWS-OWNED-DO-NOT-DELETE mit nur Überwachungsberechtigungen. Dieser Benutzer verwendet das interne Authentifizierungssystem von RabbitMQ auch auf OAuth 2.0-fähigen Brokern und ist auf den Zugriff auf die Loopback-Schnittstelle beschränkt.

Informationen zur Konfiguration der OAuth 2.0-Authentifizierung für Ihre Amazon MQ for RabbitMQ-Broker finden Sie unter. Verwendung der 2.0-Authentifizierung OAuth und -Autorisierung

OAuth Unterstützte 2.0-Konfigurationen

Amazon MQ for RabbitMQ unterstützt alle konfigurierbaren Variablen im RabbitMQ OAuth 2.0-Plugin, mit den folgenden Ausnahmen:

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Da Amazon MQ diesen Schlüssel nicht unterstützt, unterstützen wir UAA nicht als IdP.

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

Zusätzliche Validierungen für die 2.0-Authentifizierung OAuth

Amazon MQ erzwingt außerdem die folgenden zusätzlichen Validierungen für die 2.0-Authentifizierung: OAuth

  • Alles URLs muss damit beginnen. https://

  • Unterstützte Signaturalgorithmen: Ed25519 Ed25519ph Ed448Ed448ph,EdDSA,ES256K,ES256,,ES384,ES512,HS256,HS384,HS512,PS256,PS384,PS512,RS256,RS384, undRS512.