Autenticazione e autorizzazione LDAP per Amazon MQ for RabbitMQ - Amazon MQ
Configurazioni LDAP supportateConvalide aggiuntive per le configurazioni LDAP in Amazon MQ

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione e autorizzazione LDAP per Amazon MQ for RabbitMQ

Amazon MQ for RabbitMQ supporta l'autenticazione e l'autorizzazione degli utenti del broker utilizzando un server LDAP esterno. Per altri metodi supportati, consulta Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ.

Considerazioni importanti

  • Il server LDAP deve essere accessibile tramite la rete Internet pubblica. Amazon MQ for RabbitMQ può essere configurato per l'autenticazione sul server LDAP tramite TLS reciproco.

  • Amazon MQ for RabbitMQ ne impone l'uso AWS ARNs per impostazioni LDAP sensibili come le password e per le impostazioni che richiedono l'accesso al file system locale. Vedi il supporto ARN nella configurazione di RabbitMQ per maggiori dettagli.

  • È necessario includere l'autorizzazione IAM per abilitare LDAP sui broker esistenti. mq:UpdateBrokerAccessConfiguration

  • Amazon MQ crea automaticamente un utente di sistema denominato monitoring-AWS-OWNED-DO-NOT-DELETE con autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati per LDAP ed è limitato al solo accesso all'interfaccia di loopback. Amazon MQ impedisce l'eliminazione di questo utente aggiungendo il tag utente protetto.

Per informazioni su come configurare LDAP per i broker Amazon MQ for RabbitMQ, consulta. Utilizzo dell'autenticazione e dell'autorizzazione LDAP

Configurazioni LDAP supportate

Amazon MQ for RabbitMQ supporta tutte le variabili configurabili nel plug-in LDAP RabbitMQ, con le seguenti eccezioni che richiedono. AWS ARNs Per i dettagli sul supporto ARN, vedere Supporto ARN nella configurazione di RabbitMQ.

Configurazioni che richiedono ARNs

auth_ldap.dn_lookup_bind.password

Usa invece aws.arns.auth_ldap.dn_lookup_bind.password

auth_ldap.other_bind.password

Usa invece aws.arns.auth_ldap.other_bind.password

auth_ldap.ssl_options.cacertfile

Usa invece aws.arns.auth_ldap.ssl_options.cacertfile

auth_ldap.ssl_options.certfile

Usa invece aws.arns.auth_ldap.ssl_options.certfile

auth_ldap.ssl_options.keyfile

Usa invece aws.arns.auth_ldap.ssl_options.keyfile

Opzioni SSL non supportate

Inoltre, non sono supportate le seguenti opzioni di configurazione SSL:

  • auth_ldap.ssl_options.cert

  • auth_ldap.ssl_options.client_renegotiation

  • auth_ldap.ssl_options.dh

  • auth_ldap.ssl_options.dhfile

  • auth_ldap.ssl_options.honor_cipher_order

  • auth_ldap.ssl_options.honor_ecc_order

  • auth_ldap.ssl_options.key.RSAPrivateKey

  • auth_ldap.ssl_options.key.DSAPrivateKey

  • auth_ldap.ssl_options.key.PrivateKeyInfo

  • auth_ldap.ssl_options.log_alert

  • auth_ldap.ssl_options.password

  • auth_ldap.ssl_options.psk_identity

  • auth_ldap.ssl_options.reuse_sessions

  • auth_ldap.ssl_options.secure_renegotiate

  • auth_ldap.ssl_options.versions.$version

  • auth_ldap.ssl_options.sni

Convalide aggiuntive per le configurazioni LDAP in Amazon MQ

Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione e l'autorizzazione LDAP:

  • auth_ldap.lognon può essere impostato su network_unsafe

  • Il server LDAP deve utilizzare LDAPS. auth_ldap.use_sslO auth_ldap.use_starttls deve essere abilitato in modo esplicito

  • Se un'impostazione richiede l'uso di un AWS ARN, aws.arns.assume_role_arn deve essere fornita.

  • auth_ldap.serversdeve essere un indirizzo IP valido o un FQDN valido

  • Le seguenti chiavi devono essere un nome distinto LDAP valido:

    • auth_ldap.dn_lookup_base

    • auth_ldap.dn_lookup_bind.user_dn

    • auth_ldap.other_bind.user_dn

    • auth_ldap.group_lookup_base