Amazon MQ for RabbitMQ の OAuth 2.0 認証と認可 - Amazon MQ
サポートされている OAuth 2.0 設定OAuth 2.0 認証の追加検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MQ for RabbitMQ の OAuth 2.0 認証と認可

Amazon MQ for RabbitMQ は、次の認証および認可方法をサポートしています。

シンプルな認証と認可

この方法では、ブローカーユーザーは内部的に RabbitMQ ブローカーに保存され、ウェブコンソールまたは管理 API を介して管理されます。vhost、エクスチェンジ、キュー、トピックのアクセス許可は、RabbitMQ で直接設定されます。これはデフォルトのメソッドです。この方法の詳細については、「ブローカーユーザー」を参照してください。

OAuth 2.0 の認証と認可

この方法では、ブローカーユーザーとそのアクセス許可は、外部 OAuth 2.0 ID プロバイダー (IdP) によって管理されます。vhost、エクスチェンジ、キュー、トピックのユーザー認証とリソースアクセス許可は、OAuth 2.0 プロバイダーのスコープシステムを通じて一元化されます。これにより、ユーザー管理が簡素化され、既存の ID システムとの統合が可能になります。

重要な考慮事項

  • OAuth 2.0 統合は、Amazon MQ for ActiveMQ ブローカーではサポートされていません。

  • Amazon MQ for RabbitMQ は、プライベート CA によって発行されたサーバー証明書をサポートしていません。

  • RabbitMQ OAuth 2.0 プラグインは、トークンイントロスペクションエンドポイントと不透明なアクセストークンをサポートしていません。また、トークン失効チェックも実行しません。

  • 既存のブローカーで OAuth 2.0 を有効にするにはmq:UpdateBrokerAccessConfiguration、IAM アクセス許可 を含める必要があります。

  • Amazon MQ は、モニタリングのみのアクセス許可monitoring-AWS-OWNED-DO-NOT-DELETEを持つ という名前のシステムユーザーを自動的に作成します。このユーザーは、OAuth 2.0 対応ブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。

Amazon MQ for RabbitMQ ブローカーの OAuth 2.0 認証を設定する方法については、「」を参照してくださいOAuth 2.0 認証と認可の使用

サポートされている OAuth 2.0 設定

Amazon MQ for RabbitMQ は、RabbitMQ OAuth 2.0 プラグインで設定可能なすべての変数をサポートしますが、以下の例外があります。

  • auth_oauth2.https.cacertfile

  • auth_oauth2.oauth_providers.{id/index}.https.cacertfile

  • management.oauth_client_secret

    Amazon MQ はこのキーをサポートしていないため、IdP として UAA をサポートしていません。

  • management.oauth_resource_servers.{id/index}.oauth_client_secret

  • auth_oauth2.signing_keys.{id/index}

OAuth 2.0 認証の追加検証

Amazon MQ では、OAuth 2.0 認証に次の追加の検証も適用されます。

  • すべての URLs で始まる必要がありますhttps://

  • サポートされている署名アルゴリズム: Ed25519Ed25519ph、、Ed448Ed448ph、、EdDSAES256KES256ES384ES512HS256、、、HS384HS512PS256PS384、、PS512RS256RS384、、、および RS512