Amazon MQ 的 API 身份验证和授权 - Amazon MQ
要创建 Amazon MQ 代理所需的 IAM 权限REST API 权限参考支持的资源级权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon MQ 的 API 身份验证和授权

Amazon MQ 对 API 身份验证使用标准Amazon请求签名。有关更多信息,请参阅 Amazon 中的签署 Amazon Web Services 一般参考 API 请求

注意

目前,Amazon MQ 不支持使用基于资源的权限或基于资源的策略执行 IAM 身份验证。

要授权 Amazon 用户使用代理、配置和用户,必须编辑您的 IAM 策略权限。

要创建 Amazon MQ 代理所需的 IAM 权限

要创建代理,您必须使用 AmazonMQFullAccess IAM 策略或在 IAM 策略中包含以下 EC2 权限。

以下自定义策略包含两个语句(其中一个为条件语句),可授予用于操作 Amazon MQ 创建 ActiveMQ 代理所需的资源的权限。

重要

  • 要允许 Amazon MQ 代表您在您的账户中创建弹性网络接口(ENI),ec2:CreateNetworkInterface 操作是必需的。

  • ec2:CreateNetworkInterfacePermission 操作授权 Amazon MQ 将 ENI 附加到 ActiveMQ 代理。

  • ec2:AuthorizedService 条件键确保 ENI 权限只能授予给 Amazon MQ 服务账户。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "mq:*",
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs"
        ],
        "Effect": "Allow",
        "Resource": "*"
    },{
        "Action": [
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfacePermissions"
        ],
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:AuthorizedService": "mq.amazonaws.com"
            }
        }
    }]
}

有关更多信息,请参阅第 2 步:创建用户并获取您的 Amazon 证书永远不要修改或删除 Amazon MQ 弹性网络接口

Amazon MQ REST API 权限参考

下表列出了 Amazon MQ REST API 以及相应的 IAM 权限。

Amazon MQ REST API 和必需权限
Amazon MQ REST API 所需权限
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Amazon MQ API 操作的资源级权限

术语资源级权限指的是能够指定允许用户对哪些资源执行操作的能力。Amazon MQ 部分支持资源级权限。对于某些 Amazon MQ 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。

下表介绍当前支持资源级权限的 Amazon MQ API 操作,以及每个操作支持的资源、资源 ARN 和条件键。

重要

如果某一 Amazon MQ API 操作未在此表中列出,则表示它不支持资源级权限。如果 Amazon MQ API 操作不支持资源级权限,则您可以向用户授予使用该操作的权限,但是必须为策略语句的资源元素指定 * 通配符。

API 操作 资源类型(* 为必需)
CreateConfiguration 配置*
CreateTags 代理配置
CreateUser 代理*
DeleteBroker 代理*
DeleteUser 代理*
DescribeBroker 代理*
DescribeConfiguration 配置*
DescribeConfigurationRevision 配置*
DescribeUser 代理*
ListConfigurationRevisions 配置*
ListConfigurationRevisions 配置*
ListTags 代理配置
ListUsers 代理*
RebootBroker 代理*
UpdateBroker 代理*
UpdateConfiguration 配置*
UpdateUser 代理*