Authentification et autorisation d'API pour Amazon MQ - Amazon MQ
Autorisations IAM requises pour créer un agent Amazon MQRéférence des autorisations d'API RESTAutorisations au niveau des ressources prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et autorisation d'API pour Amazon MQ

Amazon MQ utilise la signature de AWS demande standard pour l'authentification par API. Pour plus d'informations, consultez Signature des demandes d'API AWS dans le Références générales AWS.

Note

Actuellement, Amazon MQ ne prend pas en charge l'authentification IAM à l'aide des autorisations basées sur les ressources ou des politiques basées sur les ressources.

Pour autoriser AWS les utilisateurs à travailler avec des courtiers, des configurations et des utilisateurs, vous devez modifier les autorisations de votre politique IAM.

Autorisations IAM requises pour créer un agent Amazon MQ

Pour créer un broker, vous devez soit utiliser la stratégie AmazonMQFullAccess IAM, soit inclure les EC2 autorisations suivantes dans votre stratégie IAM.

La politique personnalisée suivante est composée de deux déclarations (une conditionnelle) qui accordent des autorisations pour manipuler les ressources requises par Amazon MQ pour créer un agent ActiveMQ.

Important

  • L'action ec2:CreateNetworkInterface est obligatoire pour permettre à Amazon MQ de créer une interface réseau Elastic (ENI) dans votre compte en votre nom.

  • L'action ec2:CreateNetworkInterfacePermission autorise Amazon MQ à attacher l'ENI à un agent ActiveMQ.

  • La clé de condition ec2:AuthorizedService s'assure que les autorisations d'ENI peuvent être accordées uniquement aux comptes de service Amazon MQ.

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Pour plus d’informations, consultez Étape 2 : créer un utilisateur et obtenir vos AWS informations d'identification et Ne jamais modifier ou supprimer l'interface réseau Elastic Amazon MQ.

Référence des autorisations d'API REST Amazon MQ

Le tableau suivant répertorie Amazon MQ REST APIs et les autorisations IAM correspondantes.

Amazon MQ REST APIs et autorisations requises
Amazon MQ REST APIs Autorisations nécessaires
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Autorisations au niveau des ressources pour les actions d'API Amazon MQ

Le terme autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Amazon MQ prend partiellement en charge les autorisations au niveau des ressources. Pour certaines actions Amazon MQ, vous pouvez contrôler à quel moment les utilisateurs sont autorisés à utiliser ces actions en fonction des conditions qui doivent être satisfaites, ou les ressources spécifiques que les utilisateurs sont autorisés à utiliser.

Le tableau suivant décrit les actions d'API Amazon MQ qui prennent actuellement en charge les autorisations au niveau des ressources, ainsi que les ressources, les ressources et les clés de condition prises en charge pour chaque action. ARNs

Important

Si une action d'API Amazon MQ n'est pas répertoriée dans ce tableau, elle ne prend pas en charge les autorisations au niveau des ressources. Si une action d'API Amazon MQ ne prend pas en charge les autorisations au niveau des ressources, vous pouvez autoriser les utilisateurs à utiliser l'action, mais vous devez spécifier un caractère générique * pour l'élément ressource de votre déclaration de politique.

Action d'API Types de ressource (*obligatoire)
CreateConfiguration Configurations
CreateTags agents, configurations
CreateUser Agents
DeleteBroker Agents
DeleteUser Agents
DescribeBroker Agents
DescribeConfiguration Configurations
DescribeConfigurationRevision Configurations
DescribeUser Agents
ListConfigurationRevisions Configurations
ListConfigurationRevisions Configurations
ListTags agents, configurations
ListUsers Agents
RebootBroker Agents
UpdateBroker Agents
UpdateConfiguration Configurations
UpdateUser Agents