翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
シンプルな認証と認可
Amazon MQ for RabbitMQ ブローカーのユーザー
注記
このトピックでは、RabbitMQ のデフォルトの内部認証および認可メカニズムを使用したブローカーユーザーの管理について説明します。サポートされているすべての認証および認可方法の詳細については、Amazon MQ for RabbitMQ Authentication and Authorization」を参照してください。
すべての AMQP 0-9-1 クライアント接続には、関連付けられたユーザーがあります。このユーザーは認証されている必要があります。各クライアント接続は仮想ホスト (vhost) もターゲットにします。ユーザーには、この vhost に対する一連のアクセス許可が必要です。ユーザーは、vhost 内のキューとエクスチェンジに対して設定、書き込み、および読み込みを行う許可を持つことができます。接続が確立されると、ユーザー認証情報とターゲット vhost を指定します。
Amazon MQ for RabbitMQ ブローカーを初めて作成する場合、Amazon MQ は、指定されたサインイン認証情報を使用して、administrator タグで RabbitMQ ユーザーを作成します。その後、RabbitMQ Management API
注記
RabbitMQ ユーザーは、Amazon MQ のユーザー API 経由で保存または表示されません。
重要
Amazon MQ for RabbitMQ では、ユーザー名「guest」はサポートされず、デフォルトのゲストアカウントは新しいブローカーの作成時に削除されます。ユーザーが作成した「guest」というアカウントも、Amazon MQ によって定期的に削除されます。
RabbitMQ Management API を使用して新しいユーザーを作成するには、以下の API エンドポイントとリクエストボディを使用します。ユーザー名とパスワードを、新しいサインイン認証情報に置き換えます。
PUT /api/users/usernameHTTP/1.1 {"password":"password","tags":"administrator"}
重要
-
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はブローカーのユーザー名に追加しないでください。ブローカーユーザー名は、CloudWatch Logs を含む他の AWS のサービスからアクセスできます。ブローカーのユーザー名は、プライベートデータや機密データとして使用することを意図していません。
-
すべての管理者アカウントにアクセスできなくなった場合は、「復旧に IAM 認証を使用するためのブローカーアクセスの復旧」を参照してください。
tags キーは必須です。これは、ユーザーのタグのカンマで区切られたリストです。Amazon MQ は、administrator、management、monitoring、および policymaker ユーザータグをサポートします。
個々のユーザーに対する許可は、以下の API エンドポイントとリクエストボディを使用して設定できます。vhost および username を、独自の情報に置き換えます。デフォルト vhost / には、%2F を使用します。
PUT /api/permissions/vhost/usernameHTTP/1.1 {"configure":".*","write":".*","read":".*"}
注記
configure、read、および write キーはすべて必須です。
ワイルドカード .* 値を使用することによって、このオペレーションは、指定された vhost 内のすべてのキューに対する読み取り、書き込み、および設定許可をユーザーに付与します。RabbitMQ Management API を使用したユーザーの管理の詳細については、「RabbitMQ Management HTTP API
