Amazon MQ の API 認証と認可

Amazon MQ は、API 認証に標準の AWS リクエスト署名を使用します。詳細については、『AWS』の「AWS 全般のリファレンス API リクエストの署名」を参照してください。

注記

現在、Amazon MQ はリソースベースの許可またはリソースベースのポリシーを使用した IAM 認証をサポートしていません。

ブローカー、設定、およびユーザーでの作業を AWS ユーザーに認可するには、IAM ポリシー許可を編集する必要があります。

Amazon MQ ブローカーを作成するために必要な IAM 許可

ブローカーを作成するには、AmazonMQFullAccess IAM ポリシーを使用するか、以下の EC2 許可を IAM ポリシーに含める必要があります。

以下のカスタムポリシーは、ActiveMQ ブローカーを作成するために Amazon MQ が必要とするリソースを操作するための許可を付与する 2 つのステートメント (1 つは条件付き) で構成されています。

重要

• ec2:CreateNetworkInterface アクションは、ユーザーに代わってアカウントに Elastic Network Interface (ENI) を作成することを Amazon MQ に許可するために必要です。

• ec2:CreateNetworkInterfacePermission アクションは、Amazon MQ が ENI を ActiveMQ ブローカーにアタッチすることを認可します。

• ec2:AuthorizedService 条件キーは、ENI 許可が Amazon MQ サービスアカウントのみに付与されることを確実にします。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

詳細については、ステップ 2: ユーザーを作成して AWS 認証情報を取得する および Amazon MQ Elastic Network Interface を変更または削除しない を参照してください。

Amazon MQ REST API 許可リファレンス

以下の表には、Amazon MQ REST API と、それらに対応する IAM 許可がリストされています。

Amazon MQ REST API と必要な許可
Amazon MQ REST API	必要な許可
CreateBroker	mq:CreateBroker
CreateConfiguration	mq:CreateConfiguration
CreateTags	mq:CreateTags
CreateUser	mq:CreateUser
DeleteBroker	mq:DeleteBroker
DeleteUser	mq:DeleteUser
DescribeBroker	mq:DescribeBroker
DescribeConfiguration	mq:DescribeConfiguration
DescribeConfigurationRevision	mq:DescribeConfigurationRevision
DescribeUser	mq:DescribeUser
ListBrokers	mq:ListBrokers
ListConfigurationRevisions	mq:ListConfigurationRevisions
ListConfigurations	mq:ListConfigurations
ListTags	mq:ListTags
ListUsers	mq:ListUsers
RebootBroker	mq:RebootBroker
UpdateBroker	mq:UpdateBroker
UpdateConfiguration	mq:UpdateConfiguration
UpdateUser	mq:UpdateUser

Amazon MQ API アクションに対するリソースレベルの許可

リソースレベルの許可とは、ユーザーがアクションを実行できるリソースを指定する能力を意味します。Amazon MQ は、リソースレベルの許可を部分的にサポートします。特定の Amazon MQ アクションでは、満たす必要がある条件、またはユーザーが使用できる特定のリソースに基づいて、ユーザーにこれらのアクションの使用が許可されるタイミングを制御できます。

以下の表では、現在リソースレベルの許可をサポートしている Amazon MQ API アクションと、各アクションに対してサポートされるリソース、リソース ARN、条件キーを説明します。

重要

Amazon MQ API アクションがこの表に示されていない場合、そのアクションはリソースレベルの許可をサポートしていません。Amazon MQ API アクションがリソースレベルの許可をサポートしない場合、アクションを使用する許可をユーザーに付与できますが、ポリシーステートメントのリソース要素にワイルドカード (*) を指定する必要があります。

API アクション	リソースタイプ (* 必須)
CreateConfiguration	設定*
CreateTags	ブローカー、設定
CreateUser	ブローカー
DeleteBroker	ブローカー
DeleteUser	ブローカー
DescribeBroker	ブローカー
DescribeConfiguration	設定*
DescribeConfigurationRevision	設定*
DescribeUser	ブローカー
ListConfigurationRevisions	設定*
ListConfigurationRevisions	設定*
ListTags	ブローカー、設定
ListUsers	ブローカー
RebootBroker	ブローカー
UpdateBroker	ブローカー
UpdateConfiguration	設定*
UpdateUser	ブローカー