RabbitMQ용 Amazon MQ에 대한 OAuth 2.0 인증 및 권한 부여
RabbitMQ용 Amazon MQ는 다음과 같은 인증 및 권한 부여 방법을 지원합니다.
간편한 인증 및 권한 부여
이 방법에서 브로커 사용자는 RabbitMQ 브로커에 내부적으로 저장되고 웹 콘솔 또는 관리 API를 통해 관리됩니다. vhost, Exchange, 대기열 및 주제에 대한 권한은 RabbitMQ에서 직접 구성됩니다. 기본 메서드입니다. 이 메서드에 대한 자세한 내용은 브로커 사용자 섹션을 참조하세요.
OAuth 2.0 인증 및 권한 부여
이 메서드에서 브로커 사용자와 해당 권한은 외부 OAuth 2.0 ID 제공업체(IdP)에서 관리합니다. vhost, Exchange, 대기열 및 주제에 대한 사용자 인증 및 리소스 권한은 OAuth 2.0 공급자의 범위 시스템을 통해 중앙 집중화됩니다. 이를 통해 사용자 관리를 간소화하고 기존 자격 증명 시스템과 통합할 수 있습니다.
중요 고려 사항
-
Amazon MQ for ActiveMQ 브로커에서는 OAuth 2.0 통합이 지원되지 않습니다.
-
Amazon MQ for RabbitMQ는 프라이빗 CA에서 발급한 서버 인증서를 지원하지 않습니다.
-
RabbitMQ OAuth 2.0 플러그인은 토큰 내부 검사 엔드포인트 및 불투명 액세스 토큰을 지원하지 않습니다. 또한 토큰 해지 검사를 수행하지 않습니다.
-
기존 브로커에서 OAuth 2.0을 활성화하려면 IAM 권한
mq:UpdateBrokerAccessConfiguration을 포함해야 합니다. -
Amazon MQ는 모니터링 전용 권한이 있는
monitoring-AWS-OWNED-DO-NOT-DELETE라는 시스템 사용자를 자동으로 생성합니다. 이 사용자는 OAuth 2.0 지원 브로커에서도 RabbitMQ의 내부 인증 시스템을 사용하며 루프백 인터페이스 액세스로만 제한됩니다.
RabbitMQ용 Amazon MQ 브로커에 대한 OAuth 2.0 인증을 구성하는 방법에 대한 자세한 내용은 OAuth 2.0 인증 및 권한 부여 사용 섹션을 참조하세요.
지원되는 OAuth 2.0 구성
RabbitMQ용 Amazon MQ는 다음을 제외하고 RabbitMQ OAuth 2.0 플러그인에서 구성 가능한 모든 변수
-
auth_oauth2.https.cacertfile -
auth_oauth2.oauth_providers.{id/index}.https.cacertfile -
management.oauth_client_secretAmazon MQ는 이 키를 지원하지 않으므로 UAA를 IdP로 지원하지 않습니다.
-
management.oauth_resource_servers.{id/index}.oauth_client_secret -
auth_oauth2.signing_keys.{id/index}
OAuth 2.0 인증에 대한 추가 검증
또한 Amazon MQ는 OAuth 2.0 인증에 대해 다음과 같은 추가 검증을 적용합니다.
-
모든 URL은
https://로 시작해야 합니다. -
지원되는 서명 알고리즘:
Ed25519,Ed25519ph,Ed448,Ed448ph,EdDSA,ES256K,ES256,ES384,ES512,HS256,HS384,HS512,PS256,PS384,PS512,RS256,RS384및RS512.
