Bagaimana Amazon MQ bekerja dengan IAM - Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon MQ bekerja dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon MQ, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Amazon MQ. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon MQ dan layanan AWS lainnya, AWS lihat Layanan yang IAM Berfungsi di IAM Panduan PenggunaIAM.

Amazon MQ digunakan IAM untuk membuat, memperbarui, dan menghapus operasi, tetapi otentikasi ActiveMQ asli untuk broker. Untuk informasi selengkapnya, lihat Mengintegrasikan broker ActiveMQ dengan LDAP.

Kebijakan berbasis identitas Amazon MQ

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. Amazon MQ mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat Referensi Elemen IAM JSON Kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.

Tindakan kebijakan di Amazon MQ menggunakan prefiks berikut sebelum tindakan: mq:. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon MQ dengan operasi Amazon CreateBroker API MQ, Anda menyertakan tindakan mq:CreateBroker tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon MQ menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

"Action": [ "mq:action1", "mq:action2"

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "mq:Describe*"

Untuk melihat daftar tindakan Amazon MQ, lihat Tindakan yang Ditentukan oleh Amazon MQ di IAM Panduan Pengguna.

Sumber daya

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Di Amazon MQ, AWS sumber daya utama adalah broker pesan Amazon MQ dan konfigurasinya. Pialang dan konfigurasi Amazon MQ masing-masing memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut.

Jenis Sumber Daya ARN Kunci kondisi
brokers arn:aws:mq:us-east-1:123456789012:broker:${brokerName}:${brokerId}

aws:ResourceTag/${TagKey}

configurations arn:${Partition}:mq:${Region}:${Account}:configuration:${configuration-id}

aws:ResourceTag/${TagKey}

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.

Misalnya, untuk menentukan broker yang disebutkan MyBroker brokerId b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9 dalam pernyataan Anda, gunakan yang berikut iniARN:

"Resource": "arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"

Untuk menentukan semua broker dan konfigurasi yang termasuk dalam akun tertentu, gunakan wildcard (*):

"Resource": "arn:aws:mq:us-east-1:123456789012:*"

Beberapa tindakan Amazon MQ, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

APITindakan CreateTags ini membutuhkan broker dan konfigurasi. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.

"Resource": [ "resource1", "resource2"

Untuk melihat daftar jenis sumber daya Amazon MQ dan jenisnyaARNs, lihat Sumber Daya yang Ditentukan oleh Amazon MQ di IAM Panduan Pengguna. Untuk mempelajari tindakan yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon MQ.

Kunci syarat

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

Amazon MQ tidak menentukan kunci kondisi khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat daftar kunci kondisi Amazon MQ, lihat tabel di bawah ini atau Kunci Kondisi untuk Amazon MQ di IAM Panduan Pengguna. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci ketentuan, lihat Tindakan yang Ditentukan oleh Amazon MQ.

Kunci kondisi Deskripsi Jenis
aws: RequestTag /$ {} TagKey Filter tindakan berdasarkan tanda yang diberikan dalam permintaan. String
aws: ResourceTag /$ {} TagKey Filter tindakan berdasarkan tanda yang terkait dengan sumber daya. String
aws: TagKeys Filter tindakan berdasarkan kunci tanda yang diberikan dalam permintaan. String

Contoh

Untuk melihat contoh identitas berbasis kebijakan Amazon MQ, lihat Contoh kebijakan berbasis Identitas Amazon MQ.

Kebijakan berbasis Sumber Daya Amazon MQ

Saat ini, Amazon MQ tidak mendukung IAM otentikasi menggunakan izin berbasis sumber daya atau kebijakan berbasis sumber daya.

Otorisasi berbasis tanda Amazon MQ

Anda dapat melampirkan tanda ke sumber daya Amazon MQ atau meneruskan tanda dalam sebuah permintaan ke Amazon MQ. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen kondisi kebijakan menggunakan mq:ResourceTag/key-name, aws:RequestTag/key-name, atau kunci kondisi aws:TagKeys.

Amazon MQ mendukung kebijakan berbasis tanda. Misalnya, Anda dapat menolak akses ke sumber daya Amazon MQ yang menyertakan tanda dengan kunci environment dan nilai production:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "mq:DeleteBroker", "mq:RebootBroker", "mq:DeleteTags" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": "production" } } } ] }

Kebijakan ini akan Deny kemampuan untuk menghapus atau melakukan boot ulang broker Amazon MQ yang menyertakan tanda environment/production.

Untuk informasi selengkapnya mengenai penandaan, lihat:

Peran Amazon MQ IAM

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan kredensial sementara dengan Amazon MQ

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken

Amazon MQ mendukung penggunaan kredensial sementara.

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon MQ mendukung peran layanan.