OAuth Authentification et autorisation 2.0 pour Amazon MQ pour RabbitMQ - Amazon MQ
Configurations OAuth 2.0 prises en chargeValidations supplémentaires pour l'authentification OAuth 2.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

OAuth Authentification et autorisation 2.0 pour Amazon MQ pour RabbitMQ

Amazon MQ pour RabbitMQ prend en charge les méthodes d'authentification et d'autorisation suivantes :

Authentification et autorisation simples

Dans cette méthode, les utilisateurs du courtier sont stockés en interne dans le courtier RabbitMQ et gérés via la console Web ou l'API de gestion. Les autorisations pour les hôtes virtuels, les échanges, les files d'attente et les sujets sont configurées directement dans RabbitMQ. Il s'agit de la méthode par défaut. Pour plus d'informations sur cette méthode, consultez la section Utilisateurs de Broker.

OAuth Authentification et autorisation 2.0

Dans cette méthode, les utilisateurs du broker et leurs autorisations sont gérés par un fournisseur d'identité OAuth 2.0 externe (IdP). L'authentification des utilisateurs et les autorisations de ressources pour les hôtes virtuels, les échanges, les files d'attente et les sujets sont centralisées via le système de périmètre du fournisseur OAuth 2.0. Cela simplifie la gestion des utilisateurs et permet l'intégration aux systèmes d'identité existants.

Considérations Importantes

  • OAuth L'intégration 2.0 n'est pas prise en charge sur Amazon MQ pour les courtiers ActiveMQ.

  • Amazon MQ pour RabbitMQ ne prend pas en charge les certificats de serveur émis par une autorité de certification privée.

  • Le plugin RabbitMQ OAuth 2.0 ne prend pas en charge les points de terminaison d'introspection de jetons et les jetons d'accès opaques. Il n'effectue pas non plus de contrôles de révocation des jetons.

  • Vous devez inclure l'autorisation IAMmq:UpdateBrokerAccessConfiguration, pour activer la OAuth version 2.0 sur les courtiers existants.

  • Amazon MQ crée automatiquement un utilisateur du système nommé monitoring-AWS-OWNED-DO-NOT-DELETE avec des autorisations de surveillance uniquement. Cet utilisateur utilise le système d'authentification interne de RabbitMQ même sur les courtiers OAuth compatibles 2.0 et est limité à l'accès à l'interface de bouclage uniquement.

Pour plus d'informations sur la configuration de l'authentification OAuth 2.0 pour votre Amazon MQ pour les courtiers RabbitMQ, consultez. Utilisation de l'authentification et de l'autorisation OAuth 2.0

Configurations OAuth 2.0 prises en charge

Amazon MQ pour RabbitMQ prend en charge toutes les variables configurables dans le plug-in RabbitMQ OAuth 2.0, avec les exceptions suivantes :

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Amazon MQ ne prenant pas en charge cette clé, nous ne prenons pas en charge l'UAA en tant qu'IdP.

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

Validations supplémentaires pour l'authentification OAuth 2.0

Amazon MQ applique également les validations supplémentaires suivantes pour l'authentification 2.0 : OAuth

  • Tout URLs doit commencer parhttps://.

  • Algorithmes de signature pris en charge : Ed25519 Ed25519ph Ed448 Ed448phEdDSA,ES256K,ES256,ES384,ES512,HS256,,HS384,HS512,PS256,PS384,PS512,RS256,,RS384, etRS512.