Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación y autorización de las API para Amazon MQ
Amazon MQ utiliza la firma de solicitudes de AWS estándar para la autenticación de las API. Para obtener más información, consulte Firma de solicitudes de la API de AWS en la Referencia general de AWS.
nota
Actualmente, Amazon MQ no admite la autenticación de IAM mediante permisos basados en recursos o políticas basadas en recursos.
Para permitir que los usuarios de AWS trabajen con agentes, configuraciones y usuarios, debe editar los permisos de la política de IAM.
Temas
Permisos de IAM requeridos para crear un agente de Amazon MQ
Para crear un agente, debe utilizar la política AmazonMQFullAccess
de IAM o incluir los siguientes permisos de EC2 en la política de IAM.
La siguiente política personalizada consta de dos declaraciones (una condicional), que concede permisos para manipular los recursos que necesita Amazon MQ para crear un agente de ActiveMQ.
importante
-
La acción
ec2:CreateNetworkInterface
es necesaria para que Amazon MQ pueda crear una interfaz de red elástica (ENI) en su cuenta en su nombre. -
La acción
ec2:CreateNetworkInterfacePermission
autoriza a Amazon MQ a adjuntar la ENI a un agente de ActiveMQ. -
La clave de condición
ec2:AuthorizedService
garantiza que los permisos de ENI solo se puedan conceder a las cuentas de servicio de Amazon MQ.
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }
Para obtener más información, consulte Paso 2: crea un usuario y obtén tus credenciales AWS y No modifique ni elimine nunca la interfaz de red elástica de Amazon MQ.
Referencia sobre los permisos de la API REST de Amazon MQ
En la siguiente tabla se muestran las API REST de Amazon MQ y los permisos de IAM correspondientes.
API REST de Amazon MQ y permisos requeridos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
API REST de Amazon MQ | Permisos necesarios | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateBroker |
mq:CreateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateConfiguration |
mq:CreateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateTags |
mq:CreateTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateUser |
mq:CreateUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteBroker |
mq:DeleteBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteUser |
mq:DeleteUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeBroker |
mq:DescribeBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfiguration |
mq:DescribeConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeConfigurationRevision |
mq:DescribeConfigurationRevision |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DescribeUser |
mq:DescribeUser |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListBrokers |
mq:ListBrokers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurationRevisions |
mq:ListConfigurationRevisions |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListConfigurations |
mq:ListConfigurations |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListTags |
mq:ListTags |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListUsers |
mq:ListUsers |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RebootBroker |
mq:RebootBroker
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateBroker |
mq:UpdateBroker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateConfiguration |
mq:UpdateConfiguration |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
UpdateUser |
mq:UpdateUser |
Permisos de nivel de recurso para las acciones de la API de Amazon MQ
Los permisos de nivel de recurso hacen referencia a la capacidad de especificar en qué recursos los usuarios tienen permitido realizar acciones. Amazon MQ admite parcialmente los permisos de nivel de recurso. Esto significa que, para algunas acciones de Amazon MQ, usted puede determinar cuándo se permite utilizarlas a los usuarios en función de si se cumplen una serie de condiciones o de los recursos concretos que estos pueden utilizar.
En la tabla que se incluye a continuación, se indican las acciones de la API de Amazon MQ que actualmente admiten permisos de nivel de recurso, los recursos admitidos, los ARN y las claves de condición de cada una de ellas.
importante
Si una acción de la API de Amazon MQ no aparece en la tabla, significa que no admite los permisos de nivel de recurso. Si una acción de la API de Amazon MQ no admite este tipo de permisos de nivel de recurso, usted puede conceder permisos a los usuarios para que la utilicen, pero tendrá que usar un carácter comodín * para el elemento de recurso de la instrucción de la política.