Autenticação e autorização OAuth 2.0 para Amazon MQ para RabbitMQ - Amazon MQ
Configurações do OAuth 2.0 compatíveisValidações adicionais para a autenticação OAuth 2.0

Autenticação e autorização OAuth 2.0 para Amazon MQ para RabbitMQ

O Amazon MQ para RabbitMQ oferece suporte aos seguintes métodos de autenticação e autorização:

Autorização e autenticação simples

Nesse método, os usuários do agente são armazenados internamente no agente do RabbitMQ e gerenciados por meio do console Web ou da API de gerenciamento. As permissões para vhosts, trocas, filas e tópicos são configuradas diretamente no RabbitMQ. Esse é o método padrão. Para obter mais informações sobre esse método, consulte Usuários de agente.

Configuração da autorização e da autenticação OAuth 2.0

Nesse método, os usuários da agente e suas permissões são gerenciados por um provedor de identidades (IdP) do OAuth 2.0. A autenticação do usuário e as permissões de recursos para vhosts, trocas, filas e tópicos são centralizadas por meio do sistema de escopo do provedor OAuth 2.0. Isso simplifica o gerenciamento de usuários e permite a integração com os sistemas de identidade existentes.

Considerações importantes

  • A integração do OAuth 2.0 não é compatível com agentes do Amazon MQ para ActiveMQ.

  • O Amazon MQ para RabbitMQ não oferece suporte a certificado de servidor emitido por uma CA privada.

  • O plug-in OAuth 2.0 do RabbitMQ não oferece suporte a endpoints de introspecção de tokens e tokens de acesso opacos. Também não realiza verificações de revogação de token.

  • Você deve incluir a permissão mq:UpdateBrokerAccessConfiguration do IAM para habilitar o OAuth 2.0 em agentes existentes.

  • O Amazon MQ cria automaticamente um usuário do sistema chamado monitoring-AWS-OWNED-DO-NOT-DELETE com permissões somente de monitoramento. Esse usuário usa o sistema de autenticação interna do RabbitMQ mesmo em agentes habilitados para OAuth 2.0 e está restrito apenas ao acesso à interface de loopback.

Para obter informações sobre como configurar a autenticação OAuth 2.0 para os agentes do Amazon MQ para RabbitMQ, consulte Uso da autorização e da autenticação OAuth 2.0.

Configurações do OAuth 2.0 compatíveis

O Amazon MQ para RabbitMQ oferece suporte a todas as variáveis configuráveis no plug-in RabbitMQ OAuth 2.0, com as seguintes exceções:

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Como o Amazon MQ não oferece suporte a essa chave, não oferecemos suporte a UAA como IdP.

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

Validações adicionais para a autenticação OAuth 2.0

O Amazon MQ também impõe as seguintes validações adicionais para a autenticação OAuth 2.0:

  • Todos os URLs precisam começar com https://.

  • Algoritmos de assinatura compatíveis: Ed25519, Ed25519ph, Ed448, Ed448ph, EdDSA, ES256K, ES256, ES384, ES512, HS256, HS384, HS512, PS256, PS384, PS512, RS256, RS384 e RS512.