本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MQ for RabbitMQ 的 OAuth 2.0 身分驗證和授權
Amazon MQ for RabbitMQ 支援下列身分驗證和授權方法:
簡單身分驗證和授權
在此方法中,代理程式使用者存放在 RabbitMQ 代理程式內部,並透過 Web 主控台或管理 API 進行管理。虛擬主機、交換、佇列和主題的許可會直接在 RabbitMQ 中設定。這是預設方法。如需此方法的詳細資訊,請參閱中介裝置使用者。
OAuth 2.0 身分驗證和授權
在此方法中,代理程式使用者及其許可由外部 OAuth 2.0 身分提供者 (IdP) 管理。vhost、交換、佇列和主題的使用者身分驗證和資源許可是透過 OAuth 2.0 供應商的範圍系統集中。這可簡化使用者管理,並啟用與現有身分系統的整合。
重要考量
-
Amazon MQ for ActiveMQ 代理程式不支援 OAuth 2.0 整合。
-
Amazon MQ for RabbitMQ 不支援私有 CA 發行的伺服器憑證。
-
RabbitMQ OAuth 2.0 外掛程式不支援權杖自我檢查端點和不透明存取權杖。它也不會執行字符撤銷檢查。
-
您必須包含 IAM 許可
mq:UpdateBrokerAccessConfiguration,才能在現有代理程式上啟用 OAuth 2.0。 -
Amazon MQ 會自動建立名為 的系統使用者,
monitoring-AWS-OWNED-DO-NOT-DELETE並具有僅監控許可。即使已啟用 OAuth 2.0 的代理程式,此使用者也會使用 RabbitMQ 的內部身分驗證系統,且僅限於回送介面存取。
如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 OAuth 2.0 身分驗證的資訊,請參閱 使用 OAuth 2.0 身分驗證和授權。
支援的 OAuth 2.0 組態
Amazon MQ for RabbitMQ 支援 RabbitMQ OAuth 2.0 外掛程式中的所有可設定變數
-
auth_oauth2.https.cacertfile -
auth_oauth2.oauth_providers.{id/index}.https.cacertfile -
management.oauth_client_secret由於 Amazon MQ 不支援此金鑰,因此我們不支援 UAA 做為 IdP。
-
management.oauth_resource_servers.{id/index}.oauth_client_secret -
auth_oauth2.signing_keys.{id/index}
OAuth 2.0 身分驗證的其他驗證
Amazon MQ 也會針對 OAuth 2.0 身分驗證強制執行下列額外驗證:
-
所有 URLs都需要以 開頭
https://。 -
支援的簽章演算法:
Ed25519、Ed25519ph、Ed448、Ed448ph、EdDSAES256K、ES256、ES384、ES512、、HS256、HS384HS512、、PS256、PS384PS512、、RS256、、RS384和RS512。
