API-Authentifizierung und Amazon MQ-Autorisierung für - Amazon MQ
Erforderliche IAM-Berechtigungen zum Erstellen eines Amazon MQ-BrokersREST-API-Berechtigungen – ReferenzUnterstützte Berechtigungen auf Ressourcenebene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

API-Authentifizierung und Amazon MQ-Autorisierung für

Amazon MQ verwendet die standardmäßige Signierung von AWS Anfragen für die API-Authentifizierung. Weitere Informationen dazu finden Sie unter Signieren von AWS API-Anforderungen im Allgemeine AWS-Referenz.

Anmerkung

Derzeit unterstützt Amazon MQ keine IAM-Authentifizierung unter Verwendung ressourcenbasierter Berechtigungen oder ressourcenbasierter Richtlinien.

Um AWS Benutzer für die Arbeit mit Brokern, Konfigurationen und Benutzern zu autorisieren, müssen Sie Ihre IAM-Richtlinienberechtigungen bearbeiten.

Erforderliche IAM-Berechtigungen zum Erstellen eines Amazon MQ-Brokers

Um einen Broker zu erstellen, müssen Sie entweder die AmazonMQFullAccess IAM-Richtlinie verwenden oder die folgenden EC2 Berechtigungen in Ihre IAM-Richtlinie aufnehmen.

Die folgende benutzerdefinierte Richtlinie besteht aus zwei Anweisungen (eine bedingte), die Berechtigungen zum Ändern der Ressourcen erteilen, die Amazon MQ benötigt, um einen ActiveMQ-Broker zu erstellen.

Wichtig

  • Die ec2:CreateNetworkInterface-Aktion ist erforderlich, damit Amazon MQ eine Elastic Network-Schnittstelle (Elastic Network Interface, ENI) in Ihrem Konto für Sie erstellen kann.

  • Die ec2:CreateNetworkInterfacePermission-Aktion erlaubt es Amazon MQ, die ENI an einen ActiveMQ-Broker anzufügen.

  • Der ec2:AuthorizedService-Bedingungsschlüssel stellt sicher, dass ENI-Berechtigungen nur Amazon MQ-Service-Konten gewährt werden.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Weitere Informationen erhalten Sie unter Schritt 2: Erstellen Sie einen Benutzer und holen Sie sich Ihre Anmeldeinformationen AWS und Verändern oder löschen Sie auf keinen Fall die Amazon MQ Elastic Network-Schnittstelle.

Amazon MQ REST API-Berechtigungen–Referenz

In der folgenden Tabelle sind Amazon MQ REST APIs und die entsprechenden IAM-Berechtigungen aufgeführt.

Amazon MQ REST APIs und erforderliche Berechtigungen
Amazon MQ REST APIs Erforderliche Berechtigungen
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Unterstützte Berechtigungen auf Ressourcenebene für Amazon MQ-API-Aktionen

Berechtigungen auf Ressourcenebene bedeutet, dass Sie angeben können, für welche Ressourcen die Benutzer Aktionen ausführen dürfen. Amazon MQ unterstützt teilweise Berechtigungen auf Ressourcenebene. Bei bestimmten Amazon MQ-Aktionen können Sie kontrollieren, wann die Benutzer diese Aktionen verwenden dürfen. Dies basiert auf Bedingungen, die erfüllt sein müssen, oder auf bestimmten Ressourcen, die von den Benutzern verwendet werden dürfen.

In der folgenden Tabelle werden die Amazon MQ MQ-API-Aktionen beschrieben, die derzeit Berechtigungen auf ARNs Ressourcenebene unterstützen, sowie die unterstützten Ressourcen, Ressourcen- und Bedingungsschlüssel für jede Aktion.

Wichtig

Falls eine Amazon MQ-API-Aktion nicht in dieser Tabelle genannt wird, unterstützt sie keine Berechtigungen auf Ressourcenebene. Wenn eine Amazon MQ-API-Aktion Berechtigungen auf Ressourcenebene nicht unterstützt, können Sie den Benutzern die Berechtigung zur Verwendung dieser Aktion erteilen, müssen aber für das Ressourcenelement in der Richtlinienanweisung ein Sternchen * als Platzhalterzeichen einfügen.

API-Aktion Ressourcentypen (*erforderlich)
CreateConfiguration Konfigurationen*
CreateTags Broker, Konfigurationen
CreateUser Broker*
DeleteBroker Broker*
DeleteUser Broker*
DescribeBroker Broker*
DescribeConfiguration Konfigurationen*
DescribeConfigurationRevision Konfigurationen*
DescribeUser Broker*
ListConfigurationRevisions Konfigurationen*
ListConfigurationRevisions Konfigurationen*
ListTags Broker, Konfigurationen
ListUsers Broker*
RebootBroker Broker*
UpdateBroker Broker*
UpdateConfiguration Konfigurationen*
UpdateUser Broker*