Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification et autorisation LDAP pour Amazon MQ pour RabbitMQ
Amazon MQ pour RabbitMQ prend en charge l'authentification et l'autorisation des utilisateurs du broker à l'aide d'un serveur LDAP externe. Pour connaître les autres méthodes prises en charge, consultez Authentification et autorisation pour Amazon MQ pour les courtiers RabbitMQ.
Considérations importantes
-
Le serveur LDAP doit être accessible via l'Internet public. Amazon MQ pour RabbitMQ peut être configuré pour s'authentifier auprès du serveur LDAP à l'aide du protocole TLS mutuel.
-
Amazon MQ pour RabbitMQ impose l'utilisation de pour les paramètres LDAP sensibles tels que les mots de passe et AWS ARNs pour les paramètres nécessitant un accès au système de fichiers local. Voir le support de l'ARN dans la configuration de RabbitMQ pour plus de détails.
-
Vous devez inclure l'autorisation IAM
mq:UpdateBrokerAccessConfiguration, pour activer LDAP sur les courtiers existants. -
Amazon MQ crée automatiquement un utilisateur du système nommé
monitoring-AWS-OWNED-DO-NOT-DELETEavec des autorisations de surveillance uniquement. Cet utilisateur utilise le système d'authentification interne de RabbitMQ même sur les courtiers compatibles LDAP et est limité à l'accès à l'interface de bouclage uniquement. Amazon MQ empêche la suppression de cet utilisateur en ajoutant le tag utilisateur protégé.
Pour plus d'informations sur la configuration du protocole LDAP pour votre Amazon MQ pour les courtiers RabbitMQ, consultez. Utilisation de l'authentification et de l'autorisation LDAP
Sur cette page
Configurations LDAP prises en charge
Amazon MQ pour RabbitMQ prend en charge toutes les variables configurables dans le plug-in LDAP RabbitMQ
Configurations nécessitant ARNs
auth_ldap.dn_lookup_bind.password-
Utiliser
aws.arns.auth_ldap.dn_lookup_bind.passwordà la place auth_ldap.other_bind.password-
Utiliser
aws.arns.auth_ldap.other_bind.passwordà la place auth_ldap.ssl_options.cacertfile-
Utiliser
aws.arns.auth_ldap.ssl_options.cacertfileà la place auth_ldap.ssl_options.certfile-
Utiliser
aws.arns.auth_ldap.ssl_options.certfileà la place auth_ldap.ssl_options.keyfile-
Utiliser
aws.arns.auth_ldap.ssl_options.keyfileà la place
Options SSL non prises en charge
Les options de configuration SSL suivantes ne sont pas non plus prises en charge :
-
auth_ldap.ssl_options.cert -
auth_ldap.ssl_options.client_renegotiation -
auth_ldap.ssl_options.dh -
auth_ldap.ssl_options.dhfile -
auth_ldap.ssl_options.honor_cipher_order -
auth_ldap.ssl_options.honor_ecc_order -
auth_ldap.ssl_options.key.RSAPrivateKey -
auth_ldap.ssl_options.key.DSAPrivateKey -
auth_ldap.ssl_options.key.PrivateKeyInfo -
auth_ldap.ssl_options.log_alert -
auth_ldap.ssl_options.password -
auth_ldap.ssl_options.psk_identity -
auth_ldap.ssl_options.reuse_sessions -
auth_ldap.ssl_options.secure_renegotiate -
auth_ldap.ssl_options.versions.$version -
auth_ldap.ssl_options.sni
Validations supplémentaires pour les configurations LDAP dans Amazon MQ
Amazon MQ applique également les validations supplémentaires suivantes pour l'authentification et l'autorisation LDAP :
-
auth_ldap.logne peut pas être défini surnetwork_unsafe -
Le serveur LDAP doit utiliser LDAPS. Activé
auth_ldap.use_sslouauth_ldap.use_starttlsdoit être explicitement activé -
Si un paramètre nécessite l'utilisation d'un AWS ARN,
aws.arns.assume_role_arnil doit être fourni. -
auth_ldap.serversdoit être une adresse IP ou un FQDN valide -
Les clés suivantes doivent être un nom distinctif LDAP valide :
-
auth_ldap.dn_lookup_base -
auth_ldap.dn_lookup_bind.user_dn -
auth_ldap.other_bind.user_dn -
auth_ldap.group_lookup_base
-
