Amazon MQ for RabbitMQ に対する OAuth 2.0 の認証と認可 - Amazon MQ
サポートされている OAuth 2.0 設定OAuth 2.0 認証の追加検証

Amazon MQ for RabbitMQ に対する OAuth 2.0 の認証と認可

Amazon MQ for RabbitMQ は、次の認証および認可方法をサポートしています。

シンプルな認証と認可

この方法では、ブローカーユーザーは内部的に RabbitMQ ブローカーに保存され、ウェブコンソールまたは管理 API を介して管理されます。vhost、交換、キュー、トピックのアクセス許可は、RabbitMQ で直接設定されます。これがデフォルトの方法です。このメソッドの詳細については、「ブローカーユーザー」を参照してください。

OAuth 2.0 の認証と認可

この方法では、ブローカーユーザーとそのアクセス許可は、外部 OAuth 2.0 ID プロバイダー (IdP) によって管理されます。vhost、交換、キュー、トピックのユーザー認証とリソースアクセス許可は、OAuth 2.0 プロバイダーのスコープシステムを通じて一元化されます。これにより、ユーザー管理が簡素化され、既存の ID システムとの統合が可能になります。

重要な考慮事項

  • OAuth 2.0 統合は、Amazon MQ for ActiveMQ ブローカーではサポートされていません。

  • Amazon MQ for RabbitMQ では、プライベート CA によって発行されたサーバー証明書はサポートされません。

  • RabbitMQ OAuth 2.0 プラグインは、トークンイントロスペクションエンドポイントと不透明なアクセストークンをサポートしていません。また、トークンの取り消しチェックも実行しません。

  • 既存のブローカーで OAuth 2.0 を有効にするには、IAM アクセス許可、mq:UpdateBrokerAccessConfiguration を含める必要があります。

  • Amazon MQ は、モニタリングのみのアクセス許可を持つ monitoring-AWS-OWNED-DO-NOT-DELETE という名前のシステムユーザーを自動的に作成します。このユーザーは、OAuth 2.0 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。

Amazon MQ for RabbitMQ ブローカーの OAuth 2.0 認証を設定する方法については、「OAuth 2.0 の認証と認可の使用」を参照してください。

サポートされている OAuth 2.0 設定

Amazon MQ for RabbitMQ は、RabbitMQ OAuth 2.0 プラグインで設定可能なすべての変数をサポートしますが、以下の例外があります。

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Amazon MQ はこのキーをサポートしていないため、UAA は IdP としてサポートされません。

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

OAuth 2.0 認証の追加検証

Amazon MQ では、OAuth 2.0 認証に次の追加の検証も適用されます。

  • すべての URL は https:// で始まる必要があります。

  • サポートされている署名アルゴリズム: Ed25519Ed25519phEd448Ed448phEdDSAES256KES256ES384ES512HS256HS384HS512PS256PS384PS512RS256RS384RS512