Permissões de IAM necessárias para criar um agente Amazon MQ Referência de permissões da API REST Permissões compatíveis em nível de recurso

Autorização e autenticação de API para o Amazon MQ

O Amazon MQ usa assinatura de AWS solicitação padrão para autenticação de API. Para obter mais informações, consulte Assinatura de solicitações da API AWS da no Referência geral da AWS.

nota

Atualmente, o Amazon MQ não é compatível com a autenticação IAM que usam permissões baseadas em recursos ou políticas baseadas em recursos.

Para autorizar AWS os usuários a trabalhar com corretores, configurações e usuários, você deve editar suas permissões de política do IAM.

Tópicos

Permissões de IAM necessárias para criar um agente Amazon MQ
Referência de permissões da API REST do Amazon MQ
Permissões no nível do recurso suportadas para ações de API do Amazon MQ

Permissões de IAM necessárias para criar um agente Amazon MQ

Para criar um agente, você deve usar a política do AmazonMQFullAccess IAM ou incluir as seguintes EC2 permissões na sua política do IAM.

A seguinte política personalizada é composta de duas declarações (uma condicional) que concedem permissões para manipular os recursos que o Amazon MQ exige para criar um agente do ActiveMQ.

Importante

A ação ec2:CreateNetworkInterface é necessária para permitir que o Amazon MQ crie uma interface de rede elástica (ENI) em sua conta em seu nome.
A ação do ec2:CreateNetworkInterfacePermission autoriza o Amazon MQ a anexar a ENI para um agente do ActiveMQ.
A chave de condição ec2:AuthorizedService garante que as permissões de ENI possam ser concedidas apenas para contas de serviço do Amazon MQ.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Para ter mais informações, consulte Etapa 2: criar um usuário e obter suas AWS credenciais e Nunca modifique ou exclua a interface de rede elástica do Amazon MQ.

Referência de permissões da API REST do Amazon MQ

A tabela a seguir lista o Amazon MQ REST APIs e as permissões correspondentes do IAM.

Amazon MQ REST APIs e permissões necessárias
Amazon MQ REST APIs	Permissões obrigatórias
`CreateBroker`	`mq:CreateBroker`
`CreateConfiguration`	`mq:CreateConfiguration`
`CreateTags`	`mq:CreateTags`
`CreateUser`	`mq:CreateUser`
`DeleteBroker`	`mq:DeleteBroker`
`DeleteUser`	`mq:DeleteUser`
`DescribeBroker`	`mq:DescribeBroker`
`DescribeConfiguration`	`mq:DescribeConfiguration`
`DescribeConfigurationRevision`	`mq:DescribeConfigurationRevision`
`DescribeUser`	`mq:DescribeUser`
`ListBrokers`	`mq:ListBrokers`
`ListConfigurationRevisions`	`mq:ListConfigurationRevisions`
`ListConfigurations`	`mq:ListConfigurations`
`ListTags`	`mq:ListTags`
`ListUsers`	`mq:ListUsers`
`RebootBroker`	`mq:RebootBroker`
`UpdateBroker`	`mq:UpdateBroker`
`UpdateConfiguration`	`mq:UpdateConfiguration`
`UpdateUser`	`mq:UpdateUser`

Permissões no nível do recurso suportadas para ações de API do Amazon MQ

O termo permissões no nível do recurso se refere à capacidade de especificar em quais recursos os usuários têm permissão para realizar ações. O Amazon MQ é compatível parcialmente com as permissões no nível do recurso. Para determinadas ações do Amazon MQ, você pode controlar quando os usuários têm permissão para usar essas ações com base em condições que precisam ser concluídas, ou em recursos específicos que os usuários têm permissão para usar.

A tabela a seguir descreve as ações da API do Amazon MQ que atualmente oferecem suporte a permissões em nível de recurso, bem como os recursos ARNs, recursos e chaves de condição suportados para cada ação.

Importante

Caso uma ação de API do Amazon MQ não esteja listada nessa tabela, isso significa que ela não é compatível com as permissões no nível do recurso. Se uma ação da API do Amazon MQ não for compatível com as permissões em nível de recurso, você poderá conceder aos usuários permissão para usar a ação, mas precisará especificar um curinga * para o elemento do recurso da declaração de política.

Ação API	Tipos de recursos (*necessários)
`CreateConfiguration`	configurações*
`CreateTags`	agentes, configurações
`CreateUser`	operadores*
`DeleteBroker`	operadores*
`DeleteUser`	operadores*
`DescribeBroker`	operadores*
`DescribeConfiguration`	configurações*
`DescribeConfigurationRevision`	configurações*
`DescribeUser`	operadores*
`ListConfigurationRevisions`	configurações*
`ListConfigurationRevisions`	configurações*
`ListTags`	agentes, configurações
`ListUsers`	operadores*
`RebootBroker`	operadores*
`UpdateBroker`	operadores*
`UpdateConfiguration`	configurações*
`UpdateUser`	operadores*

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

AWS políticas gerenciadas