View a markdown version of this page

Dukungan ARN dalam konfigurasi RabbitMQ - Amazon MQ
Kunci yang didukungSampel kebijakan IAMNegara karantina broker terkaitContoh skenario

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dukungan ARN dalam konfigurasi RabbitMQ

Amazon MQ untuk RabbitMQ mendukung AWS ARN untuk nilai beberapa pengaturan konfigurasi RabbitMQ. Ini diaktifkan oleh plugin komunitas RabbitMQ rabbitmq-aws. Plugin ini dikembangkan dan dikelola oleh Amazon MQ dan juga dapat digunakan di broker RabbitMQ yang dihosting sendiri yang tidak dikelola oleh Amazon MQ.

Pertimbangan penting

  • Nilai ARN yang diselesaikan yang diambil oleh plugin aws diteruskan langsung ke proses RabbitMQ saat runtime. Mereka tidak disimpan di tempat lain di node RabbitMQ.

  • Amazon MQ untuk RabbitMQ memerlukan peran IAM yang dapat diasumsikan oleh Amazon MQ untuk mengakses ARN yang dikonfigurasi. Ini dikonfigurasi dengan pengaturanaws.arns.assume_role_arn.

  • Pengguna yang memanggil CreateBroker atau UpdateBroker API dengan konfigurasi broker yang menyertakan peran IAM harus memiliki iam:PassRole izin untuk peran itu.

  • Peran IAM harus ada di AWS akun yang sama dengan broker RabbitMQ. Semua ARN dalam konfigurasi harus ada di AWS wilayah yang sama dengan broker RabbitMQ.

  • Amazon MQ menambahkan kunci bersyarat global IAM aws:SourceAccount dan aws:SourceArn saat mengasumsikan peran IAM. Nilai-nilai ini harus digunakan dalam kebijakan IAM yang melekat pada peran untuk perlindungan wakil yang membingungkan.

Kunci yang didukung

Peran IAM yang diperlukan
aws.arns.assume_role_arn

IAM berperan ARN yang diasumsikan Amazon MQ untuk mengakses sumber daya lain. AWS Diperlukan ketika konfigurasi ARN lainnya digunakan.

Kunci konfigurasi Deskripsi
aws.arns.ssl_options.cacertfile File otoritas sertifikat untuk koneksi SSL/TLS klien. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
Kunci konfigurasi Deskripsi
aws.arns.management.ssl.cacertfile File otoritas sertifikat untuk SSL/TLS koneksi antarmuka manajemen. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
Kunci konfigurasi Deskripsi
aws.arns.auth_oauth2.https.cacertfile File otoritas sertifikat untuk koneksi HTTPS OAuth 2.0. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
Kunci konfigurasi Deskripsi
aws.arns.auth_http.ssl_options.cacertfile File otoritas sertifikat untuk SSL/TLS koneksi otentikasi HTTP. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
aws.arns.auth_http.ssl_options.certfile File sertifikat untuk koneksi TLS timbal balik antara Amazon MQ dan server otentikasi HTTP. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
aws.arns.auth_http.ssl_options.keyfile File kunci pribadi untuk koneksi TLS timbal balik antara Amazon MQ dan server otentikasi HTTP. Amazon MQ membutuhkan penggunaan AWS Secrets Manager untuk menyimpan kunci pribadi.
Kunci konfigurasi Deskripsi
aws.arns.auth_ldap.ssl_options.cacertfile File otoritas sertifikat untuk SSL/TLS koneksi LDAP. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
aws.arns.auth_ldap.ssl_options.certfile File sertifikat untuk koneksi TLS timbal balik antara Amazon MQ dan server LDAP. Amazon MQ memerlukan penggunaan Amazon S3 atau untuk menyimpan sertifikat.
aws.arns.auth_ldap.ssl_options.keyfile File kunci pribadi untuk koneksi TLS timbal balik antara Amazon MQ dan server LDAP. Amazon MQ membutuhkan penggunaan AWS Secrets Manager untuk menyimpan kunci pribadi.
aws.arns.auth_ldap.dn_lookup_bind.password Kata sandi untuk LDAP DN lookup bind. Amazon MQ mengharuskan penggunaan AWS Secrets Manager untuk menyimpan kata sandi sebagai nilai teks biasa.
aws.arns.auth_ldap.other_bind.password Kata sandi untuk LDAP mengikat lainnya. Amazon MQ mengharuskan penggunaan AWS Secrets Manager untuk menyimpan kata sandi sebagai nilai teks biasa.

Sampel kebijakan IAM

Untuk contoh kebijakan IAM termasuk mengasumsikan dokumen kebijakan peran dan dokumen kebijakan peran, lihat implementasi sampel CDK.

Lihat Menggunakan otentikasi dan otorisasi LDAP langkah-langkah tentang cara mengatur AWS Secrets Manager dan sumber daya Amazon S3.

Negara karantina broker terkait

Untuk informasi tentang status karantina broker yang terkait dengan masalah dukungan ARN, lihat:

Contoh skenario

  • Broker b-f0fc695e-2f9c-486b-845a-988023a3e55b telah dikonfigurasi untuk menggunakan peran IAM <role> untuk mengakses rahasia AWS Secrets Manager <arn>

  • Jika peran yang diberikan ke Amazon MQ tidak memiliki izin baca pada AWS Secrets Manager rahasia, kesalahan berikut akan ditampilkan di log RabbitMQ:

    [error] <0.254.0> aws_arn_config: {handle_assume_role,{error,{assume_role_failed,"AWS service is unavailable"}}}

    Selain itu, broker akan memasuki negara INVALID_ASSUMEROLE karantina. Untuk informasi lebih lanjut, lihat INVALID_ASSUMEROLE.

  • Upaya otentikasi LDAP akan gagal dengan kesalahan berikut:

    [error] <0.254.0> LDAP bind failed: invalid_credentials

  • Perbaiki peran IAM dengan izin yang tepat