本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 簡單身分驗證和授權
<a name="rabbitmq-simple-auth-broker-users"></a>

## Amazon MQ for RabbitMQ 代理程式使用者
<a name="rabbitmq-basic-elements-user"></a>

**注意**  
本主題說明使用 RabbitMQ 的預設內部身分驗證和授權機制來管理代理程式使用者。如需有關所有支援的身分驗證和授權方法的資訊，請參閱 [Amazon MQ for RabbitMQ 身分驗證和授權](rabbitmq-authentication.md)。

 每個 AMQP 0-9-1 用戶端連線都有相關聯的使用者。此使用者必須經過身分驗證。每個用戶端連線也會以虛擬主機 (vhost) 為目標。使用者必須擁有此 vhost 的一組許可。使用者可能有權**設定**、**寫入**，以及**讀取**虛擬主機中的佇列和交換。您可以在建立連線時指定使用者登入資料和目標 vhost。

 當您第一次建立 Amazon MQ for RabbitMQ 代理程式時，Amazon MQ 會使用您提供的登入憑證來建立具有 `administrator` 標籤的 RabbitMQ 使用者。您可以接著透過 RabbitMQ [管理 API](https://www.rabbitmq.com/management.html) 或 RabbitMQ Web 主控台，新增及管理使用者。您也可以使用 RabbitMQ Web 主控台或管理 API 來設定或修改使用者許可和標籤。

**注意**  
RabbitMQ 使用者不會透過 Amazon MQ [Users (使用者)](https://docs.aws.amazon.com/amazon-mq/latest/api-reference/brokers-broker-id-users.html) API 儲存或顯示。

**重要**  
Amazon MQ for RabbitMQ 不支援使用者名稱「訪客」，並且會在您建立新的代理程式時刪除預設訪客帳戶。Amazon MQ 也會定期刪除任何客戶建立的帳戶，稱為「訪客」。

 若要使用 RabbitMQ 管理 API 建立新使用者，請使用下列 API 端點和要求主體。以新的登入憑證取代*使用者名稱*和*密碼*。

```
PUT /api/users/username HTTP/1.1
        
    {"password":"password","tags":"administrator"}
```

**重要**  
 請勿在代理程式使用者名稱中加入個人身分識別資訊 (PII) 或其他機密或敏感資訊。其他 AWS 服務可存取中介裝置使用者名稱，包括 CloudWatch Logs。代理程式使用者名稱不適用於私有或敏感資料。
如果您無法存取所有管理員帳戶，請參閱[復原代理程式存取權](troubleshooting-rabbitmq.md#rabbitmq-broker-recovery)以使用 IAM 身分驗證進行復原。

`tags` 索引鍵屬於強制性，而且是使用者以逗號分隔的標籤清單。Amazon MQ 支援 `administrator`、`management`、`monitoring` 及 `policymaker` 使用者標籤。

您可以使用下列 API 端點和要求主體來設定個別使用者的許可。以您的資訊取代 *vhost* 和 *username*。對於預設虛擬主機 `/`，使用 `%2F`。

```
PUT /api/permissions/vhost/username HTTP/1.1

    {"configure":".*","write":".*","read":".*"}
```

**注意**  
`configure`、`read` 及 `write` 索引鍵全都屬於強制性。

使用萬用字元 `.*` 值，此作業會將指定的虛擬主機中所有佇列的讀取、寫入和設定許可授予使用者。如需透過 RabbitMQ 管理 API 管理使用者的詳細資訊，請參閱 [RabbitMQ 管理 HTTP API](https://rawcdn.githack.com/rabbitmq/rabbitmq-server/main/deps/rabbitmq_management/priv/www/api/index.html)。