本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon MQ 的 API 身份验证和授权
Amazon MQ 对 API 身份验证使用标准Amazon请求签名。有关更多信息,请参阅 Amazon 中的签署 Amazon Web Services 一般参考 API 请求。
注意
目前,Amazon MQ 不支持使用基于资源的权限或基于资源的策略执行 IAM 身份验证。
要授权 Amazon 用户使用代理、配置和用户,必须编辑您的 IAM 策略权限。
要创建 Amazon MQ 代理所需的 IAM 权限
要创建代理,您必须使用 AmazonMQFullAccess
IAM 策略或在 IAM 策略中包含以下 EC2 权限。
以下自定义策略包含两个语句(其中一个为条件语句),可授予用于操作 Amazon MQ 创建 ActiveMQ 代理所需的资源的权限。
重要
-
要允许 Amazon MQ 代表您在您的账户中创建弹性网络接口(ENI),
ec2:CreateNetworkInterface
操作是必需的。 -
ec2:CreateNetworkInterfacePermission
操作授权 Amazon MQ 将 ENI 附加到 ActiveMQ 代理。 -
ec2:AuthorizedService
条件键确保 ENI 权限只能授予给 Amazon MQ 服务账户。
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }
有关更多信息,请参阅第 2 步:创建用户并获取您的 Amazon 凭证和永远不要修改或删除 Amazon MQ 弹性网络接口。
Amazon MQ REST API 权限参考
下表列出了 Amazon MQ REST API 以及相应的 IAM 权限。
Amazon MQ REST API | 所需权限 |
---|---|
CreateBroker |
mq:CreateBroker |
CreateConfiguration |
mq:CreateConfiguration |
CreateTags |
mq:CreateTags |
CreateUser |
mq:CreateUser |
DeleteBroker |
mq:DeleteBroker |
DeleteUser |
mq:DeleteUser |
DescribeBroker |
mq:DescribeBroker |
DescribeConfiguration |
mq:DescribeConfiguration |
DescribeConfigurationRevision |
mq:DescribeConfigurationRevision |
DescribeUser |
mq:DescribeUser |
ListBrokers |
mq:ListBrokers |
ListConfigurationRevisions |
mq:ListConfigurationRevisions |
ListConfigurations |
mq:ListConfigurations |
ListTags |
mq:ListTags |
ListUsers |
mq:ListUsers |
RebootBroker |
mq:RebootBroker
|
UpdateBroker |
mq:UpdateBroker |
UpdateConfiguration |
mq:UpdateConfiguration |
UpdateUser |
mq:UpdateUser |
Amazon MQ API 操作的资源级权限
术语资源级权限指的是能够指定允许用户对哪些资源执行操作的能力。Amazon MQ 部分支持资源级权限。对于某些 Amazon MQ 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。
下表介绍当前支持资源级权限的 Amazon MQ API 操作,以及每个操作支持的资源、资源 ARN 和条件键。
重要
如果某一 Amazon MQ API 操作未在此表中列出,则表示它不支持资源级权限。如果 Amazon MQ API 操作不支持资源级权限,则您可以向用户授予使用该操作的权限,但是必须为策略语句的资源元素指定 * 通配符。