Cara kerja Amazon MQ dengan IAM - Amazon MQ
Kebijakan berbasis identitas Amazon MQKebijakan berbasis Sumber Daya Amazon MQOtorisasi berbasis tanda Amazon MQPeran IAM Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Amazon MQ dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon MQ, Anda harus memahami fitur-fitur IAM apa yang tersedia untuk digunakan dengan Amazon MQ. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon MQ dan layanan AWS lainnya yang bekerja dengan IAM, lihat Layanan AWS yang bekerja dengan IAM dalam Panduan Pengguna IAM.

Amazon MQ menggunakan IAM untuk membuat, memperbarui, dan menghapus operasi, tapi autentikasi ActiveMQ native untuk broker. Untuk informasi selengkapnya, lihat Mengintegrasikan broker ActiveMQ dengan LDAP.

Kebijakan berbasis identitas Amazon MQ

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi di mana tindakan tersebut diperbolehkan atau ditolak. Amazon MQ mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.

Tindakan

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.

Elemen Action dari kebijakan JSON menjelaskan tindakan-tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama sebagai operasi API AWS terkait. Ada beberapa pengecualian, misalnya tindakan hanya dengan izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.

Tindakan kebijakan di Amazon MQ menggunakan prefiks berikut sebelum tindakan: mq:. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon MQ dengan operasi API CreateBroker Amazon MQ, Anda menyertakan tindakan mq:CreateBroker dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon MQ menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

"Action": [
      "mq:action1",
      "mq:action2"

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "mq:Describe*"

Untuk melihat daftar tindakan Amazon MQ, lihat Tindakan Ditetapkan oleh Amazon MQ di Panduan Pengguna IAM.

Sumber daya

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, principal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam syarat apa.

Elemen kebijakan JSON Resource menentukan objek atau objek-objek yang menjadi target penerapan tindakan. Pernyataan harus mencakup elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung tipe sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan berlaku untuk semua sumber daya.

"Resource": "*"

Dalam Amazon MQ, sumber daya primer AWS adalah broker pesan Amazon MQ dan konfigurasinya. Setiap broker dan konfigurasi Amazon MQ memiliki Amazon Resource Name (ARN) yang unik dan terkait, seperti yang ditunjukkan pada tabel berikut.

Jenis Sumber Daya ARN Kunci kondisi
brokers arn:aws:mq:us-east-1:123456789012:broker:${brokerName}:${brokerId}

aws:ResourceTag/${TagKey}

configurations arn:${Partition}:mq:${Region}:${Account}:configuration:${configuration-id}

aws:ResourceTag/${TagKey}

Untuk informasi lebih lanjut tentang format ARN, lihat Amazon Resource Name (ARN) dan namespace layanan AWS.

Misalnya, untuk menentukan broker bernamaMyBrokerdengan BrokerIDb-1234a5b6-78cd-901e-2fgh-3i45j6k178l9dalam pernyataan Anda, gunakan ARN berikut:

"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"

Untuk menentukan semua broker dan konfigurasi yang termasuk dalam akun tertentu, gunakan wildcard (*):

"Resource": "arn:aws:mq:us-east-1:123456789012:*"

Beberapa tindakan Amazon MQ, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kondisi tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Tindakan API CreateTags memerlukan broker dan konfigurasi. Untuk menentukan beberapa sumber daya dalam pernyataan tunggal, pisahkan ARN dengan koma. 

"Resource": [
      "resource1",
      "resource2"

Untuk melihat daftar tipe sumber daya Amazon MQ dan ARN mereka, lihat Sumber Daya Ditetapkan oleh Amazon MQ di Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon MQ.

Kunci kondisi

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses ke hal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan menurut persyaratan apa.

Elemen Condition (atau Condition blok) memungkinkan Anda menentukan syarat di mana suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator syarat, seperti sama dengan atau kurang dari, untuk mencocokkan syarat dalam kebijakan dengan nilai dalam permintaan.

Jika Anda menentukan beberapa elemen Condition dalam pernyataan, atau beberapa kunci dalam satu elemen Condition, AWS akan mengevaluasinya denga menggunakan operasi logika AND. Jika Anda menetapkan beberapa nilai untuk kunci syarat tunggal, AWS akan mengevaluasi syarat tersebut dengan menggunakan operasi logika OR. Semua persyaratan harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan syarat. Sebagai contoh, Anda dapat memberikan izin pengguna IAM untuk mengakses sumber daya hanya jika ditandai dengan nama pengguna IAM mereka. Untuk informasi lebih lanjut, lihat Elemen kebijakan IAM: variabel dan tag dalam Panduan Pengguna IAM.

AWS mendukung kunci syarat global dan kunci syarat khusus layanan. Untuk melihat semua kunci syarat global AWS, lihat AWS kunci konteks syarat global dalam Panduan Pengguna IAM.

Amazon MQ tidak menentukan kunci kondisi khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat daftar kunci syarat Amazon MQ, lihat tabel di bawah atau Kunci Syarat untuk Amazon MQ di Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci ketentuan, lihat Tindakan yang Ditentukan oleh Amazon MQ.

Kunci kondisi Deskripsi Tipe
aws:RequestTag/$ {TagKey} Filter tindakan berdasarkan tanda yang diberikan dalam permintaan. String
aws:ResourceTag/$ {TagKey} Filter tindakan berdasarkan tanda yang terkait dengan sumber daya. String
aws:TagKeys Filter tindakan berdasarkan kunci tanda yang diberikan dalam permintaan. String

Contoh

Untuk melihat contoh identitas berbasis kebijakan Amazon MQ, lihat Contoh kebijakan berbasis Identitas Amazon MQ.

Kebijakan berbasis Sumber Daya Amazon MQ

Saat ini, Amazon MQ tidak mendukung autentikasi IAM menggunakan izin berbasis sumber daya atau kebijakan berbasis sumber daya.

Otorisasi berbasis tanda Amazon MQ

Anda dapat melampirkan tanda ke sumber daya Amazon MQ atau meneruskan tanda dalam sebuah permintaan ke Amazon MQ. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen kondisi kebijakan menggunakan mq:ResourceTag/key-name, aws:RequestTag/key-name, atau kunci kondisi aws:TagKeys.

Amazon MQ mendukung kebijakan berbasis tanda. Misalnya, Anda dapat menolak akses ke sumber daya Amazon MQ yang menyertakan tanda dengan kunci environment dan nilai production:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "mq:DeleteBroker",
                "mq:RebootBroker",
                "mq:DeleteTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/environment": "production"
                }
            }
        }
    ]
}

Kebijakan ini akan Deny kemampuan untuk menghapus atau melakukan boot ulang broker Amazon MQ yang menyertakan tanda environment/production.

Untuk informasi selengkapnya mengenai penandaan, lihat:

Peran IAM Amazon MQ

IAM role adalah entitas dalam akun AWS Anda yang memiliki izin khusus.

Menggunakan kredensial sementara dengan Amazon MQ

Anda dapat menggunakan kredensial sementara untuk masuk dengan federasi, memiliki IAM role, atau menjalankan peran lintas-akun. Anda mendapatkan kredensyal keamanan sementara dengan meneleponAWS STSOperasi API sepertiAssumeRoleatauGetFederationToken.

Amazon MQ mendukung penggunaan kredensial sementara.

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.

Amazon MQ mendukung peran layanan.