Autenticación y autorización de las API para Amazon MQ - Amazon MQ
Permisos de IAM requeridos para crear un agente de Amazon MQReferencia sobre los permisos de la API RESTPermisos de nivel de recurso admitidos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación y autorización de las API para Amazon MQ

Amazon MQ utiliza la firma de AWS solicitudes estándar para la autenticación de la API. Para obtener más información, consulte Firma de solicitudes de la API de AWS en la Referencia general de AWS.

nota

Actualmente, Amazon MQ no admite la autenticación de IAM mediante permisos basados en recursos o políticas basadas en recursos.

Para autorizar a AWS los usuarios a trabajar con intermediarios, configuraciones y usuarios, debe editar los permisos de su política de IAM.

Permisos de IAM requeridos para crear un agente de Amazon MQ

Para crear un bróker, debe utilizar la política de AmazonMQFullAccess IAM o incluir los siguientes EC2 permisos en su política de IAM.

La siguiente política personalizada consta de dos declaraciones (una condicional), que concede permisos para manipular los recursos que necesita Amazon MQ para crear un agente de ActiveMQ.

importante

  • La acción ec2:CreateNetworkInterface es necesaria para que Amazon MQ pueda crear una interfaz de red elástica (ENI) en su cuenta en su nombre.

  • La acción ec2:CreateNetworkInterfacePermission autoriza a Amazon MQ a adjuntar la ENI a un agente de ActiveMQ.

  • La clave de condición ec2:AuthorizedService garantiza que los permisos de ENI solo se puedan conceder a las cuentas de servicio de Amazon MQ.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Para obtener más información, consulte Paso 2: crea un usuario y obtén tus credenciales AWS y No modifique ni elimine nunca la interfaz de red elástica de Amazon MQ.

Referencia sobre los permisos de la API REST de Amazon MQ

En la siguiente tabla se enumeran Amazon MQ REST APIs y los permisos de IAM correspondientes.

Amazon MQ REST APIs y permisos necesarios
Amazon MQ REST APIs Permisos necesarios
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Permisos de nivel de recurso para las acciones de la API de Amazon MQ

Los permisos de nivel de recurso hacen referencia a la capacidad de especificar en qué recursos los usuarios tienen permitido realizar acciones. Amazon MQ admite parcialmente los permisos de nivel de recurso. Esto significa que, para algunas acciones de Amazon MQ, usted puede determinar cuándo se permite utilizarlas a los usuarios en función de si se cumplen una serie de condiciones o de los recursos concretos que estos pueden utilizar.

En la siguiente tabla se describen las acciones de la API Amazon MQ que actualmente admiten permisos a nivel de recursos, así como los recursos, los recursos y las claves de condición compatibles para cada acción. ARNs

importante

Si una acción de la API de Amazon MQ no aparece en la tabla, significa que no admite los permisos de nivel de recurso. Si una acción de la API de Amazon MQ no admite este tipo de permisos de nivel de recurso, usted puede conceder permisos a los usuarios para que la utilicen, pero tendrá que usar un carácter comodín * para el elemento de recurso de la instrucción de la política.

Acción API Tipos de recursos (*necesarios)
CreateConfiguration Configuraciones*
CreateTags agentes,configuraciones
CreateUser Agentes*
DeleteBroker Agentes*
DeleteUser Agentes*
DescribeBroker Agentes*
DescribeConfiguration Configuraciones*
DescribeConfigurationRevision Configuraciones*
DescribeUser Agentes*
ListConfigurationRevisions Configuraciones*
ListConfigurationRevisions Configuraciones*
ListTags agentes,configuraciones
ListUsers Agentes*
RebootBroker Agentes*
UpdateBroker Agentes*
UpdateConfiguration Configuraciones*
UpdateUser Agentes*