本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MQ 代理程式的身分驗證和授權
Amazon MQ 提供多種身分驗證和授權方法,可根據您的組織需求來保護您的訊息基礎設施。
Amazon MQ for RabbitMQ 的身分驗證和授權
Amazon MQ for RabbitMQ 支援下列身分驗證和授權方法:
簡單身分驗證和授權
在此方法中,代理程式使用者存放在 RabbitMQ 代理程式內部,並透過 Web 主控台或管理 API 進行管理。vhost、交換、佇列和主題的許可會直接在 RabbitMQ 中設定。這是預設方法。如需詳細資訊,請參閱簡易身分驗證和授權。
OAuth 2.0 身分驗證和授權
在此方法中,代理程式使用者及其許可由外部 OAuth 2.0 身分提供者 (IdP) 管理。透過 OAuth 2.0 供應商的範圍系統集中管理 vhost、交換、佇列和資源許可。這可簡化使用者管理,並啟用與現有身分系統的整合。如需詳細資訊,請參閱 OAuth 2.0 身分驗證和授權。
LDAP 身分驗證和授權
在此方法中,代理程式使用者及其許可是由外部 LDAP 目錄服務管理。使用者身分驗證和資源許可是透過 LDAP 伺服器集中,允許使用者使用其現有的目錄服務登入資料來存取 RabbitMQ。如需詳細資訊,請參閱 LDAP 身分驗證和授權。
HTTP 身分驗證和授權
在此方法中,代理程式使用者及其許可由外部 HTTP 伺服器管理。使用者身分驗證和資源許可是透過 HTTP 伺服器集中,允許使用者使用自己的身分驗證和授權提供者來存取 RabbitMQ。如需此方法的詳細資訊,請參閱 HTTP 身分驗證和授權。
SSL 憑證身分驗證
Amazon MQ 支援 RabbitMQ 代理程式的交互 TLS (mTLS)。SSL 身分驗證外掛程式使用來自 mTLS 連線的用戶端憑證來驗證使用者。在此方法中,代理程式使用者會使用 X.509 用戶端憑證進行身分驗證,而不是使用者名稱和密碼憑證。用戶端的憑證會根據信任的憑證授權單位 (CA) 進行驗證,使用者名稱會從憑證中的欄位擷取,例如通用名稱 (CN) 或主體別名 (SAN)。此方法提供強式身分驗證,無需透過網路傳輸登入資料。如需詳細資訊,請參閱 SSL 憑證身分驗證。
注意
RabbitMQ 支援多個同時使用的身分驗證和授權方法。例如,您可以同時啟用 OAuth 2.0 和簡單 (內部) 身分驗證。如需詳細資訊,請參閱啟用 OAuth 2.0 和簡單 (內部) 身分驗證的 OAuth 2.0 教學課程一節,以及 RabbitMQ 存取控制文件
Amazon MQ 建議在測試身分驗證組態時建立內部使用者。這允許使用 RabbitMQ 管理 API 驗證存取組態。如需詳細資訊,請參閱存取驗證。
Amazon MQ for ActiveMQ 的身分驗證和授權
Amazon MQ for ActiveMQ 支援下列身分驗證和授權方法:
簡單身分驗證和授權
在此方法中,代理程式使用者是透過 Amazon MQ 主控台或 API 建立和管理。使用者可以設定特定許可來存取佇列、主題和 ActiveMQ Web 主控台。如需此方法的詳細資訊,請參閱建立 ActiveMQ 代理程式使用者。
LDAP 身分驗證和授權
在此方法中,代理程式使用者透過儲存在 LDAP 伺服器的登入資料進行身分驗證。您可以新增、刪除和修改使用者,並透過 LDAP 伺服器將許可指派給主題和佇列,提供集中式身分驗證和授權。如需此方法的詳細資訊,請參閱將 ActiveMQ 代理程式與 LDAP 整合。
