Authentification par certificat SSL pour Amazon MQ pour RabbitMQ - Amazon MQ
Configurations SSL prises en chargeValidations supplémentaires pour les configurations SSL dans Amazon MQ

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification par certificat SSL pour Amazon MQ pour RabbitMQ

Amazon MQ pour RabbitMQ prend en charge l'authentification des utilisateurs du broker à l'aide de certificats clients X.509. Pour connaître les autres méthodes prises en charge, consultez Authentification et autorisation pour Amazon MQ pour les courtiers RabbitMQ.

Note

Le plug-in d'authentification par certificat SSL est uniquement disponible pour Amazon MQ pour RabbitMQ version 4 et supérieure.

Considérations importantes

  • Les certificats clients doivent être signés par une autorité de certification (CA) fiable. Amazon MQ pour RabbitMQ valide la chaîne de certificats lors de l'authentification.

  • Amazon MQ pour RabbitMQ impose l'utilisation de pour les paramètres liés aux certificats tels que les certificats CA et AWS ARNs pour les paramètres nécessitant un accès au système de fichiers local. Voir le support de l'ARN dans la configuration de RabbitMQ pour plus de détails.

  • Amazon MQ crée automatiquement un utilisateur du système nommé monitoring-AWS-OWNED-DO-NOT-DELETE avec des autorisations de surveillance uniquement. Cet utilisateur utilise le système d'authentification interne de RabbitMQ, même sur les courtiers dotés de certificats SSL, et est limité à l'accès à l'interface de bouclage uniquement. Amazon MQ empêche la suppression de cet utilisateur en ajoutant le tag utilisateur protégé.

Pour plus d'informations sur la configuration de l'authentification par certificat SSL pour votre Amazon MQ pour les courtiers RabbitMQ, consultez. Utilisation de l'authentification par certificat SSL

Configurations SSL prises en charge

Amazon MQ pour RabbitMQ prend en charge SSL/TLS la configuration des connexions client. Pour plus de détails sur le support de l'ARN, voir le support de l'ARN dans la configuration de RabbitMQ.

Configurations nécessitant ARNs

ssl_options.cacertfile

Utiliser aws.arns.ssl_options.cacertfile à la place

Configurations de connexion par certificat SSL

Les configurations suivantes contrôlent la manière dont les noms d'utilisateur sont extraits des certificats clients :

ssl_cert_login_from

Spécifie le champ de certificat à utiliser pour l'extraction du nom d'utilisateur. Valeurs prises en charge :

  • distinguished_name- Utilisez le nom distinctif complet

  • common_name- Utilisez le champ Nom commun (CN)

  • subject_alternative_nameou subject_alt_name - Utiliser le nom alternatif du sujet

ssl_cert_login_san_type

Lorsque vous utilisez le nom alternatif du sujet, spécifiez le type de SAN. Valeurs prises en charge : dnsip,email,uri, other_name

ssl_cert_login_san_index

Lorsque vous utilisez le nom alternatif du sujet, spécifie l'index de l'entrée SAN à utiliser (base zéro). Doit être un entier non négatif.

Options SSL pour les connexions client

Les options SSL suivantes s'appliquent aux connexions client :

ssl_options.verify

Mode de vérification par les pairs. Valeurs prises en charge :verify_none, verify_peer

ssl_options.fail_if_no_peer_cert

S'il faut rejeter les connexions si le client ne fournit pas de certificat. Valeur booléenne.

ssl_options.depth

Profondeur maximale de la chaîne de certificats pour la vérification.

ssl_options.hostname_verification

Mode de vérification du nom d'hôte. Valeurs prises en charge :wildcard, none

Options SSL non prises en charge

Les options de configuration SSL suivantes ne sont pas prises en charge :

  • ssl_options.cert

  • ssl_options.client_renegotiation

  • ssl_options.dh

  • ssl_options.dhfile

  • ssl_options.honor_cipher_order

  • ssl_options.honor_ecc_order

  • ssl_options.key.RSAPrivateKey

  • ssl_options.key.DSAPrivateKey

  • ssl_options.key.PrivateKeyInfo

  • ssl_options.log_alert

  • ssl_options.password

  • ssl_options.psk_identity

  • ssl_options.reuse_sessions

  • ssl_options.secure_renegotiate

  • ssl_options.versions.$version

  • ssl_options.sni

  • ssl_options.crl_check

Validations supplémentaires pour les configurations SSL dans Amazon MQ

Amazon MQ applique également les validations supplémentaires suivantes pour l'authentification par certificat SSL :

  • Si un paramètre nécessite l'utilisation d'un AWS ARN, aws.arns.assume_role_arn il doit être fourni.