Permisos de IAM requeridos para crear un agente de Amazon MQ Referencia sobre los permisos de la API REST Permisos de nivel de recurso admitidos

Autenticación y autorización de las API para Amazon MQ

Amazon MQ utiliza la firma de solicitudes de AWS estándar para la autenticación de las API. Para obtener más información, consulte Firma de solicitudes de la API de AWS en la Referencia general de AWS.

nota

Actualmente, Amazon MQ no admite la autenticación de IAM mediante permisos basados en recursos o políticas basadas en recursos.

Para permitir que los usuarios de AWS trabajen con agentes, configuraciones y usuarios, debe editar los permisos de la política de IAM.

Temas

Permisos de IAM requeridos para crear un agente de Amazon MQ
Referencia sobre los permisos de la API REST de Amazon MQ
Permisos de nivel de recurso para las acciones de la API de Amazon MQ

Permisos de IAM requeridos para crear un agente de Amazon MQ

Para crear un agente, debe utilizar la política AmazonMQFullAccess de IAM o incluir los siguientes permisos de EC2 en la política de IAM.

La siguiente política personalizada consta de dos declaraciones (una condicional), que concede permisos para manipular los recursos que necesita Amazon MQ para crear un agente de ActiveMQ.

importante

La acción ec2:CreateNetworkInterface es necesaria para que Amazon MQ pueda crear una interfaz de red elástica (ENI) en su cuenta en su nombre.
La acción ec2:CreateNetworkInterfacePermission autoriza a Amazon MQ a adjuntar la ENI a un agente de ActiveMQ.
La clave de condición ec2:AuthorizedService garantiza que los permisos de ENI solo se puedan conceder a las cuentas de servicio de Amazon MQ.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

Para obtener más información, consulte Paso 2: crea un usuario y obtén tus credenciales AWS y No modifique ni elimine nunca la interfaz de red elástica de Amazon MQ.

Referencia sobre los permisos de la API REST de Amazon MQ

En la siguiente tabla se muestran las API REST de Amazon MQ y los permisos de IAM correspondientes.

API REST de Amazon MQ y permisos requeridos
API REST de Amazon MQ	Permisos necesarios
`CreateBroker`	`mq:CreateBroker`
`CreateConfiguration`	`mq:CreateConfiguration`
`CreateTags`	`mq:CreateTags`
`CreateUser`	`mq:CreateUser`
`DeleteBroker`	`mq:DeleteBroker`
`DeleteUser`	`mq:DeleteUser`
`DescribeBroker`	`mq:DescribeBroker`
`DescribeConfiguration`	`mq:DescribeConfiguration`
`DescribeConfigurationRevision`	`mq:DescribeConfigurationRevision`
`DescribeUser`	`mq:DescribeUser`
`ListBrokers`	`mq:ListBrokers`
`ListConfigurationRevisions`	`mq:ListConfigurationRevisions`
`ListConfigurations`	`mq:ListConfigurations`
`ListTags`	`mq:ListTags`
`ListUsers`	`mq:ListUsers`
`RebootBroker`	`mq:RebootBroker`
`UpdateBroker`	`mq:UpdateBroker`
`UpdateConfiguration`	`mq:UpdateConfiguration`
`UpdateUser`	`mq:UpdateUser`

Permisos de nivel de recurso para las acciones de la API de Amazon MQ

Los permisos de nivel de recurso hacen referencia a la capacidad de especificar en qué recursos los usuarios tienen permitido realizar acciones. Amazon MQ admite parcialmente los permisos de nivel de recurso. Esto significa que, para algunas acciones de Amazon MQ, usted puede determinar cuándo se permite utilizarlas a los usuarios en función de si se cumplen una serie de condiciones o de los recursos concretos que estos pueden utilizar.

En la tabla que se incluye a continuación, se indican las acciones de la API de Amazon MQ que actualmente admiten permisos de nivel de recurso, los recursos admitidos, los ARN y las claves de condición de cada una de ellas.

importante

Si una acción de la API de Amazon MQ no aparece en la tabla, significa que no admite los permisos de nivel de recurso. Si una acción de la API de Amazon MQ no admite este tipo de permisos de nivel de recurso, usted puede conceder permisos a los usuarios para que la utilicen, pero tendrá que usar un carácter comodín * para el elemento de recurso de la instrucción de la política.

Acción API	Tipos de recursos (*necesarios)
`CreateConfiguration`	Configuraciones*
`CreateTags`	agentes,configuraciones
`CreateUser`	Agentes*
`DeleteBroker`	Agentes*
`DeleteUser`	Agentes*
`DescribeBroker`	Agentes*
`DescribeConfiguration`	Configuraciones*
`DescribeConfigurationRevision`	Configuraciones*
`DescribeUser`	Agentes*
`ListConfigurationRevisions`	Configuraciones*
`ListConfigurationRevisions`	Configuraciones*
`ListTags`	agentes,configuraciones
`ListUsers`	Agentes*
`RebootBroker`	Agentes*
`UpdateBroker`	Agentes*
`UpdateConfiguration`	Configuraciones*
`UpdateUser`	Agentes*

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidad

AWS políticas gestionadas