Autorização e autenticação de API para o Amazon MQ - Amazon MQ
Permissões de IAM necessárias para criar um agente Amazon MQReferência de permissões da API RESTReferência de permissões adicionais do Amazon MQPermissões compatíveis em nível de recurso

Autorização e autenticação de API para o Amazon MQ

O Amazon MQ usa a assinatura de solicitações padrão AWS para autenticação da API. Para obter mais informações, consulte Assinatura de solicitações da API AWS da no Referência geral da AWS.

nota

Atualmente, o Amazon MQ não é compatível com a autenticação IAM que usam permissões baseadas em recursos ou políticas baseadas em recursos.

Para autorizar os usuários AWS a trabalhar com agentes, configurações e usuários, você deve editar as permissões da política do IAM.

Permissões de IAM necessárias para criar um agente Amazon MQ

Para criar um agente, você deve usar a política do IAM AmazonMQFullAccess ou incluir as permissões do EC2 a seguir em sua política do IAM.

A seguinte política personalizada é composta de duas declarações (uma condicional) que concedem permissões para manipular os recursos que o Amazon MQ exige para criar um agente do ActiveMQ.

Importante

  • A ação ec2:CreateNetworkInterface é necessária para permitir que o Amazon MQ crie uma interface de rede elástica (ENI) em sua conta em seu nome.

  • A ação do ec2:CreateNetworkInterfacePermission autoriza o Amazon MQ a anexar a ENI para um agente do ActiveMQ.

  • A chave de condição ec2:AuthorizedService garante que as permissões de ENI possam ser concedidas apenas para contas de serviço do Amazon MQ.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Para obter mais informações, consulte Etapa 2: criar um usuário e obter suas credenciais da AWS e Nunca modifique ou exclua a interface de rede elástica do Amazon MQ.

Referência de permissões da API REST do Amazon MQ

A tabela a seguir relaciona as APIs REST do Amazon MQ e as permissões correspondentes do IAM.

APIs REST e permissões necessárias do Amazon MQ
APIs REST do Amazon MQ Permissões obrigatórias
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Referência de permissões adicionais do Amazon MQ

A tabela a seguir lista a API do Amazon MQ e a permissão adicional do IAM necessária para atributos específicos, como a autenticação OAuth 2.0.

API REST do Amazon MQ Permissão Descrição
UpdateBroker mq:UpdateBrokerAccessConfiguration

Você precisa dessa permissão para atualizar as opções de autenticação e autorização na configuração do agente associado. Para obter mais informações, consulte Autenticação e autorização OAuth 2.0 para Amazon MQ para RabbitMQ.

Permissões no nível do recurso suportadas para ações de API do Amazon MQ

O termo permissões no nível do recurso se refere à capacidade de especificar em quais recursos os usuários têm permissão para realizar ações. O Amazon MQ é compatível parcialmente com as permissões no nível do recurso. Para determinadas ações do Amazon MQ, você pode controlar quando os usuários têm permissão para usar essas ações com base em condições que precisam ser concluídas, ou em recursos específicos que os usuários têm permissão para usar.

A tabela a seguir descreve as ações de API do Amazon MQ que são compatíveis no momento com as permissões no nível do recurso, bem como os recursos compatíveis, os ARNs de recurso e as chaves de condição para cada ação.

Importante

Caso uma ação de API do Amazon MQ não esteja listada nessa tabela, isso significa que ela não é compatível com as permissões no nível do recurso. Se uma ação da API do Amazon MQ não for compatível com as permissões em nível de recurso, você poderá conceder aos usuários permissão para usar a ação, mas precisará especificar um curinga * para o elemento do recurso da declaração de política.

Ação API Tipos de recursos (*necessários)
CreateConfiguration Configurações do*
CreateTags agentes, configurações
CreateUser agentes*
DeleteBroker agentes*
DeleteUser agentes*
DescribeBroker agentes*
DescribeConfiguration Configurações do*
DescribeConfigurationRevision Configurações do*
DescribeUser agentes*
ListConfigurationRevisions Configurações do*
ListConfigurationRevisions Configurações do*
ListTags agentes, configurações
ListUsers agentes*
RebootBroker agentes*
UpdateBroker agentes*
UpdateConfiguration Configurações do*
UpdateUser agentes*