适用于 Amazon MQ 的 API 身份验证和授权 - Amazon MQ
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon MQ 的 API 身份验证和授权

Amazon MQ 使用标准AmazonAPI 身份验证的请求签名。有关更多信息,请参阅 。簽署AmazonAPI 请求中的Amazon一般参考

注意

目前,Amazon MQ 不支持使用基于资源的权限或基于资源的策略执行 IAM 身份验证。

要授权Amazon用户以使用代理、配置和用户,必须编辑您的 IAM 策略权限。

创建 Amazon MQ 代理时需要的 IAM 权限

要创建代理,您必须使用AmazonMQFullAccessIAM 策略或在 IAM 策略中包含以下 EC2 权限。

以下自定义策略包含两个语句 (其中一个为条件语句),可授予用于操作 Amazon MQ 要创建 ActiveMQ 代理所需的资源的权限。

重要
  • 这些区域有:ec2:CreateNetworkInterface操作才能允许 Amazon MQ 代表您在您的账户中创建 elastic network interface (ENI)。

  • 这些区域有:ec2:CreateNetworkInterfacePermission操作授权 Amazon MQ 将 ENI 附加到 ActiveMQ 代理。

  • 这些区域有:ec2:AuthorizedService条件键确保 ENI 权限只能授予给 Amazon MQ 服务账户。

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "mq:*", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" },{ "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:AuthorizedService": "mq.amazonaws.com" } } }] }

有关更多信息,请参阅 第 2 步:创建 IAM 用户并获取您的Amazon凭证永远不要修改或删除 Amazon MQ 弹性网络接口

Amazon MQ REST API 权限参考

下表列出了 Amazon MQ REST API 以及相应的 IAM 权限。

Amazon MQ REST API 和必需权限
Amazon MQ REST API 所需权限
CreateBroker mq:CreateBroker
CreateConfiguration mq:CreateConfiguration
CreateTags mq:CreateTags
CreateUser mq:CreateUser
DeleteBroker mq:DeleteBroker
DeleteUser mq:DeleteUser
DescribeBroker mq:DescribeBroker
DescribeConfiguration mq:DescribeConfiguration
DescribeConfigurationRevision mq:DescribeConfigurationRevision
DescribeUser mq:DescribeUser
ListBrokers mq:ListBrokers
ListConfigurationRevisions mq:ListConfigurationRevisions
ListConfigurations mq:ListConfigurations
ListTags mq:ListTags
ListUsers mq:ListUsers
RebootBroker mq:RebootBroker
UpdateBroker mq:UpdateBroker
UpdateConfiguration mq:UpdateConfiguration
UpdateUser mq:UpdateUser

Amazon MQ API 操作的资源级权限

术语资源级权限指的是允许用户对哪些资源执行操作的能力。Amazon MQ 部分支持资源级权限。对于某些 Amazon MQ 操作,您可以控制何时允许用户执行操作(基于必须满足的条件)或是允许用户使用的特定资源。

下表介绍当前支持资源级权限的 Amazon MQ API 操作,以及每个操作支持的资源、资源 ARN 和条件密钥。

重要

如果某一 Amazon MQ API 操作在此表中没有列出,则它不支持资源级权限。如果 Amazon MQ API 操作不支持资源级权限,那么,您可以为用户授予使用该操作的权限,但是必须为策略语句的资源元素指定 * 通配符。