Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja Amazon MQ dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon MQ, Anda harus memahami fitur-fitur IAM apa yang tersedia untuk digunakan dengan Amazon MQ. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon MQ dan layanan AWS lainnya yang bekerja dengan IAM, lihat Layanan AWS yang bekerja dengan IAM dalam Panduan Pengguna IAM.
Amazon MQ menggunakan IAM untuk membuat, memperbarui, dan menghapus operasi, tapi autentikasi ActiveMQ native untuk broker. Untuk informasi selengkapnya, lihat Mengintegrasikan broker ActiveMQ dengan LDAP.
Topik
Kebijakan berbasis identitas Amazon MQ
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. Amazon MQ mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.
Elemen Action
dari kebijakan JSON menjelaskan tindakan-tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama sebagai operasi API AWS terkait. Ada beberapa pengecualian, misalnya tindakan hanya dengan izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di Amazon MQ menggunakan prefiks berikut sebelum tindakan: mq:
. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon MQ dengan operasi API CreateBroker
Amazon MQ, Anda menyertakan tindakan mq:CreateBroker
dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action
atau NotAction
. Amazon MQ menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "mq:action1", "mq:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe
, sertakan tindakan berikut:
"Action": "mq:Describe*"
Untuk melihat daftar tindakan Amazon MQ, lihat Tindakan Ditetapkan oleh Amazon MQ di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.
Elemen kebijakan JSON Resource
menentukan objek atau objek-objek yang menjadi target penerapan tindakan. Pernyataan harus mencakup elemen Resource
atau NotResource
. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung tipe sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.
"Resource": "*"
Dalam Amazon MQ, sumber daya primer AWS adalah broker pesan Amazon MQ dan konfigurasinya. Setiap broker dan konfigurasi Amazon MQ memiliki Amazon Resource Name (ARN) yang unik dan terkait, seperti yang ditunjukkan pada tabel berikut.
Jenis Sumber Daya | ARN | Kunci kondisi |
---|---|---|
brokers |
arn:aws:mq:us-east-1:123456789012:broker:${brokerName}:${brokerId}
|
|
configurations |
arn:${Partition}:mq:${Region}:${Account}:configuration:${configuration-id}
|
Untuk informasi lebih lanjut tentang format ARN, lihat Amazon Resource Name (ARN) dan namespace layanan AWS.
Misalnya, untuk menentukan broker bernamaMyBroker
dengan BrokerIDb-1234a5b6-78cd-901e-2fgh-3i45j6k178l9
dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
Untuk menentukan semua broker dan konfigurasi yang termasuk dalam akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:mq:us-east-1:123456789012:*"
Beberapa tindakan Amazon MQ, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kondisi tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Tindakan API CreateTags
memerlukan broker dan konfigurasi. Untuk menentukan beberapa sumber daya dalam pernyataan tunggal, pisahkan ARN dengan koma.
"Resource": [ "resource1", "resource2"
Untuk melihat daftar tipe sumber daya Amazon MQ dan ARN mereka, lihat Sumber Daya Ditetapkan oleh Amazon MQ di Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon MQ.
Kunci kondisi
Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan menurut persyaratan apa.
Elemen Condition
(atau Condition
blok) memungkinkan Anda menentukan syarat di mana suatu pernyataan berlaku. Elemen Condition
bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator syarat, seperti sama dengan atau kurang dari, untuk mencocokkan syarat dalam kebijakan dengan nilai dalam permintaan.
Jika Anda menentukan beberapa elemen Condition
dalam pernyataan, atau beberapa kunci dalam satu elemen Condition
, AWS akan mengevaluasinya denga menggunakan operasi logika AND
. Jika Anda menetapkan beberapa nilai untuk kunci syarat tunggal, AWS akan mengevaluasi syarat tersebut dengan menggunakan operasi logika OR
. Semua persyaratan harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan syarat. Sebagai contoh, Anda dapat memberikan izin pengguna IAM untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat Elemen kebijakan IAM: variabel dan tag dalam Panduan Pengguna IAM.
AWS mendukung kunci syarat global dan kunci syarat khusus layanan. Untuk melihat semua kunci syarat global AWS, lihat AWS kunci konteks syarat global dalam Panduan Pengguna IAM.
Amazon MQ tidak menentukan kunci kondisi khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat daftar kunci syarat Amazon MQ, lihat tabel di bawah atau Kunci Syarat untuk Amazon MQ di Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci ketentuan, lihat Tindakan yang Ditentukan oleh Amazon MQ.
Kunci kondisi | Deskripsi | Tipe |
---|---|---|
aws:RequestTag/$ {TagKey} | Filter tindakan berdasarkan tanda yang diberikan dalam permintaan. | String |
aws:ResourceTag/$ {TagKey} | Filter tindakan berdasarkan tanda yang terkait dengan sumber daya. | String |
aws:TagKeys | Filter tindakan berdasarkan kunci tanda yang diberikan dalam permintaan. | String |
Contoh
Untuk melihat contoh identitas berbasis kebijakan Amazon MQ, lihat Contoh kebijakan berbasis Identitas Amazon MQ.
Kebijakan berbasis Sumber Daya Amazon MQ
Saat ini, Amazon MQ tidak mendukung autentikasi IAM menggunakan izin berbasis sumber daya atau kebijakan berbasis sumber daya.
Otorisasi berbasis tanda Amazon MQ
Anda dapat melampirkan tanda ke sumber daya Amazon MQ atau meneruskan tanda dalam sebuah permintaan ke Amazon MQ. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen kondisi kebijakan menggunakan mq:ResourceTag/
, key-name
aws:RequestTag/
, atau kunci kondisi key-name
aws:TagKeys
.
Amazon MQ mendukung kebijakan berbasis tanda. Misalnya, Anda dapat menolak akses ke sumber daya Amazon MQ yang menyertakan tanda dengan kunci environment
dan nilai production
:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"mq:DeleteBroker",
"mq:RebootBroker",
"mq:DeleteTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "production"
}
}
}
]
}
Kebijakan ini akan Deny
kemampuan untuk menghapus atau melakukan boot ulang broker Amazon MQ yang menyertakan tanda environment/production
.
Untuk informasi selengkapnya mengenai penandaan, lihat:
Peran IAM Amazon MQ
IAM role adalah entitas dalam akun AWS Anda yang memiliki izin khusus.
Menggunakan kredensial sementara dengan Amazon MQ
Anda dapat menggunakan kredensial sementara untuk masuk dengan federasi, memiliki IAM role, atau menjalankan peran lintas-akun. Anda mendapatkan kredensyal keamanan sementara dengan meneleponAWS STSOperasi API sepertiAssumeRoleatauGetFederationToken.
Amazon MQ mendukung penggunaan kredensial sementara.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.
Amazon MQ mendukung peran layanan.