Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
LDAP-Authentifizierung und Autorisierung für Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ unterstützt die Authentifizierung und Autorisierung von Broker-Benutzern mithilfe eines externen LDAP-Servers. Weitere unterstützte Methoden finden Sie unter Authentifizierung und Autorisierung für Amazon MQ für RabbitMQ-Broker.
Wichtige Überlegungen
-
Der LDAP-Server muss über das öffentliche Internet zugänglich sein. Amazon MQ for RabbitMQ kann so konfiguriert werden, dass es sich mithilfe von Mutual TLS beim LDAP-Server authentifiziert.
-
Amazon MQ for RabbitMQ erzwingt die Verwendung von AWS ARNs für sensible LDAP-Einstellungen wie Passwörter und für Einstellungen, die Zugriff auf das lokale Dateisystem erfordern. Weitere Informationen finden Sie unter ARN-Unterstützung in der RabbitMQ-Konfiguration.
-
Sie müssen die IAM-Berechtigung angeben, um LDAP auf
mq:UpdateBrokerAccessConfigurationvorhandenen Brokern zu aktivieren. -
Amazon MQ erstellt automatisch einen Systembenutzer
monitoring-AWS-OWNED-DO-NOT-DELETEmit nur Überwachungsberechtigungen. Dieser Benutzer verwendet das interne Authentifizierungssystem von RabbitMQ auch bei LDAP-fähigen Brokern und ist auf den Zugriff auf die Loopback-Schnittstelle beschränkt. Amazon MQ verhindert das Löschen dieses Benutzers, indem es das geschützte Benutzer-Taghinzufügt.
Informationen zur Konfiguration von LDAP für Ihre Amazon MQ for RabbitMQ-Broker finden Sie unter. Verwendung der LDAP-Authentifizierung und -Autorisierung
Auf dieser Seite
Unterstützte LDAP-Konfigurationen
Amazon MQ for RabbitMQ unterstützt alle konfigurierbaren Variablen im RabbitMQ LDAP-Plugin
Konfigurationen, die Folgendes erfordern ARNs
auth_ldap.dn_lookup_bind.password-
Stattdessen
aws.arns.auth_ldap.dn_lookup_bind.passwordverwenden auth_ldap.other_bind.password-
Stattdessen
aws.arns.auth_ldap.other_bind.passwordverwenden auth_ldap.ssl_options.cacertfile-
Stattdessen
aws.arns.auth_ldap.ssl_options.cacertfileverwenden auth_ldap.ssl_options.certfile-
Stattdessen
aws.arns.auth_ldap.ssl_options.certfileverwenden auth_ldap.ssl_options.keyfile-
Stattdessen
aws.arns.auth_ldap.ssl_options.keyfileverwenden
SSL-Optionen werden nicht unterstützt
Die folgenden SSL-Konfigurationsoptionen werden ebenfalls nicht unterstützt:
-
auth_ldap.ssl_options.cert -
auth_ldap.ssl_options.client_renegotiation -
auth_ldap.ssl_options.dh -
auth_ldap.ssl_options.dhfile -
auth_ldap.ssl_options.honor_cipher_order -
auth_ldap.ssl_options.honor_ecc_order -
auth_ldap.ssl_options.key.RSAPrivateKey -
auth_ldap.ssl_options.key.DSAPrivateKey -
auth_ldap.ssl_options.key.PrivateKeyInfo -
auth_ldap.ssl_options.log_alert -
auth_ldap.ssl_options.password -
auth_ldap.ssl_options.psk_identity -
auth_ldap.ssl_options.reuse_sessions -
auth_ldap.ssl_options.secure_renegotiate -
auth_ldap.ssl_options.versions.$version -
auth_ldap.ssl_options.sni
Zusätzliche Validierungen für LDAP-Konfigurationen in Amazon MQ
Amazon MQ erzwingt außerdem die folgenden zusätzlichen Validierungen für die LDAP-Authentifizierung und -Autorisierung:
-
auth_ldap.logkann nicht gesetzt werden aufnetwork_unsafe -
Der LDAP-Server muss LDAPS verwenden. Entweder
auth_ldap.use_ssloderauth_ldap.use_starttlsmuss explizit aktiviert werden -
Falls eine Einstellung die Verwendung eines AWS ARN erfordert,
aws.arns.assume_role_arnmuss dieser angegeben werden. -
auth_ldap.serversmuss eine gültige IP-Adresse oder ein gültiger FQDN sein -
Bei den folgenden Schlüsseln muss es sich um einen gültigen LDAP-Distinguished Name handeln:
-
auth_ldap.dn_lookup_base -
auth_ldap.dn_lookup_bind.user_dn -
auth_ldap.other_bind.user_dn -
auth_ldap.group_lookup_base
-
