本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
簡單身分驗證和授權
Amazon MQ for RabbitMQ 代理程式使用者
注意
本主題說明使用 RabbitMQ 的預設內部身分驗證和授權機制來管理代理程式使用者。如需有關所有支援的身分驗證和授權方法的資訊,請參閱 Amazon MQ for RabbitMQ 身分驗證和授權。
每個 AMQP 0-9-1 用戶端連線都有相關聯的使用者。此使用者必須經過身分驗證。每個用戶端連線也會以虛擬主機 (vhost) 為目標。使用者必須擁有此 vhost 的一組許可。使用者可能有權設定、寫入,以及讀取虛擬主機中的佇列和交換。您可以在建立連線時指定使用者登入資料和目標 vhost。
當您第一次建立 Amazon MQ for RabbitMQ 代理程式時,Amazon MQ 會使用您提供的登入憑證來建立具有 administrator 標籤的 RabbitMQ 使用者。您可以接著透過 RabbitMQ 管理 API
注意
RabbitMQ 使用者不會透過 Amazon MQ Users (使用者) API 儲存或顯示。
重要
Amazon MQ for RabbitMQ 不支援使用者名稱「訪客」,並且會在您建立新的代理程式時刪除預設訪客帳戶。Amazon MQ 也會定期刪除任何客戶建立的帳戶,稱為「訪客」。
若要使用 RabbitMQ 管理 API 建立新使用者,請使用下列 API 端點和要求主體。以新的登入憑證取代使用者名稱和密碼。
PUT /api/users/usernameHTTP/1.1 {"password":"password","tags":"administrator"}
重要
-
請勿在代理程式使用者名稱中加入個人身分識別資訊 (PII) 或其他機密或敏感資訊。其他 AWS 服務可存取中介裝置使用者名稱,包括 CloudWatch Logs。代理程式使用者名稱不適用於私有或敏感資料。
-
如果您無法存取所有管理員帳戶,請參閱復原代理程式存取權以使用 IAM 身分驗證進行復原。
tags 索引鍵屬於強制性,而且是使用者以逗號分隔的標籤清單。Amazon MQ 支援 administrator、management、monitoring 及 policymaker 使用者標籤。
您可以使用下列 API 端點和要求主體來設定個別使用者的許可。以您的資訊取代 vhost 和 username。對於預設虛擬主機 /,使用 %2F。
PUT /api/permissions/vhost/usernameHTTP/1.1 {"configure":".*","write":".*","read":".*"}
注意
configure、read 及 write 索引鍵全都屬於強制性。
使用萬用字元 .* 值,此作業會將指定的虛擬主機中所有佇列的讀取、寫入和設定許可授予使用者。如需透過 RabbitMQ 管理 API 管理使用者的詳細資訊,請參閱 RabbitMQ 管理 HTTP API
