翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon MQ ブローカーの認証と認可
<a name="amazon-mq-access"></a>

 Amazon MQ には、組織の要件に従ってメッセージングインフラストラクチャを保護するための複数の認証および認可方法が用意されています。

## Amazon MQ for RabbitMQ の認証と認可
<a name="rabbitmq-auth"></a>

Amazon MQ for RabbitMQ は、次の認証および認可方法をサポートしています。

### シンプルな認証と認可
<a name="rabbitmq-simple-auth"></a>

 この方法では、ブローカーユーザーは内部的に RabbitMQ ブローカーに保存され、ウェブコンソールまたは管理 API を介して管理されます。vhost、交換、キュー、トピックのアクセス許可は、RabbitMQ で直接設定されます。これがデフォルトの方法です。詳細については、[「シンプルな認証と認可](rabbitmq-simple-auth-broker-users.md)」を参照してください。

### OAuth 2.0 の認証と認可
<a name="rabbitmq-oauth-auth"></a>

この方法では、ブローカーユーザーとそのアクセス許可は、外部 OAuth 2.0 ID プロバイダー (IdP) によって管理されます。vhost、交換、キュー、トピックのユーザー認証とリソースアクセス許可は、OAuth 2.0 プロバイダーのスコープシステムを通じて一元化されます。これにより、ユーザー管理が簡素化され、既存の ID システムとの統合が可能になります。詳細については、[OAuth 2.0 の認証と認可](oauth-for-amq-for-rabbitmq.md)」を参照してください。

### IAM 認証と認可
<a name="rabbitmq-iam-auth"></a>

この方法では、ブローカーユーザーは IAM AWS [アウトバウンドフェデレーションを介して IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) 認証情報を使用して認証します。IAM 認証情報は、 AWS Security Token Service (STS) から JWT トークンを取得するために使用されます。これらの JWT トークンは、認証用の OAuth 2.0 トークンとして機能します。このメソッドは、Amazon MQ for RabbitMQ の既存の OAuth 2.0 サポートを活用します。 は OAuth 2.0 ID プロバイダー AWS として機能します。ユーザー認証は IAM AWS によって処理され、vhost、エクスチェンジ、キュー、トピックのリソースアクセス許可は RabbitMQ で設定された IAM ポリシーとスコープエイリアスによって管理されます。詳細については、[「IAM 認証と認可](iam-for-amq-for-rabbitmq.md)」を参照してください。

### LDAP 認証と認可
<a name="rabbitmq-ldap-auth"></a>

この方法では、ブローカーユーザーとそのアクセス許可は外部 LDAP ディレクトリサービスによって管理されます。ユーザー認証とリソースのアクセス許可は LDAP サーバーを通じて一元化されるため、ユーザーは既存のディレクトリサービス認証情報を使用して RabbitMQ にアクセスできます。詳細については、[「LDAP 認証と認可](ldap-for-amq-for-rabbitmq.md)」を参照してください。

### HTTP 認証と認可
<a name="rabbitmq-http-auth"></a>

この方法では、ブローカーユーザーとそのアクセス許可は外部 HTTP サーバーによって管理されます。ユーザー認証とリソースのアクセス許可は HTTP サーバーを通じて一元化されるため、ユーザーは独自の認証および認可プロバイダーを使用して RabbitMQ にアクセスできます。この方法の詳細については、[「HTTP 認証と認可](http-for-amq-for-rabbitmq.md)」を参照してください。

### SSL 証明書認証
<a name="rabbitmq-ssl-cert-auth"></a>

Amazon MQ は、RabbitMQ ブローカーの相互 TLS (mTLS) をサポートしています。SSL 認証プラグインは、mTLS 接続からのクライアント証明書を使用してユーザーを認証します。この方法では、ブローカーユーザーはユーザー名とパスワードの認証情報の代わりに X.509 クライアント証明書を使用して認証されます。クライアントの証明書は信頼できる認証機関 (CA) に対して検証され、ユーザー名は共通名 (CN) やサブジェクト代替名 (SAN) などの証明書のフィールドから抽出されます。この方法は、ネットワーク経由で認証情報を送信せずに強力な認証を提供します。詳細については、[「SSL 証明書認証](ssl-for-amq-for-rabbitmq.md)」を参照してください。

**注記**  
RabbitMQ は、同時に使用する複数の認証および認可方法をサポートしています。たとえば、OAuth 2.0 と簡易 (内部) 認証の両方を有効にできます。詳細については、OAuth 2.0 チュートリアルセクション[OAuth 2.0 と簡易 (内部) 認証の両方を有効にする](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/oauth-tutorial.html#oauth-tutorial-config-both-auth-methods-using-cli)」および[RabbitMQ アクセスコントロールドキュメント](https://www.rabbitmq.com/docs/access-control)」を参照してください。  
Amazon MQ では、認証設定をテストするときに内部ユーザーを作成することをお勧めします。これにより、RabbitMQ 管理 API を使用してアクセス設定を検証できます。詳細については、[「アクセス検証](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/arn-support-rabbitmq-configuration.html#access-validation)」を参照してください。

## Amazon MQ for ActiveMQ の認証と認可
<a name="activemq-auth"></a>

Amazon MQ for ActiveMQ は、次の認証および認可方法をサポートしています。

### シンプルな認証と認可
<a name="activemq-simple-auth-shared"></a>

この方法では、ブローカーユーザーは Amazon MQ コンソールまたは API を使用して作成および管理されます。ユーザーには、キュー、トピック、および ActiveMQ ウェブコンソールにアクセスするための特定のアクセス許可を設定できます。この方法の詳細については、[ActiveMQ ブローカーユーザーの作成](amazon-mq-listing-managing-users.md)」を参照してください。

### LDAP 認証と認可
<a name="activemq-ldap-auth-shared"></a>

この方法では、ブローカーユーザーは LDAP サーバーに保存されている認証情報を使用して認証します。ユーザーを追加、削除、変更し、LDAP サーバーを介してトピックとキューにアクセス許可を割り当てることで、一元的な認証と認可を提供できます。この方法の詳細については、[ActiveMQ ブローカーと LDAP の統合](security-authentication-authorization.md)」を参照してください。