ApsaraMQ for RocketMQでは、Alibaba Cloudアカウントがリソースアクセス管理 (RAM) ユーザーにトピックリソースの使用を許可します。 これにより、Alibaba CloudアカウントのAccessKeyペアの潜在的な開示によって引き起こされるリスクを防ぎます。 許可されたRAMユーザーのみが、ApsaraMQ for RocketMQコンソールでリソースを管理し、SDKおよびAPI操作を使用してメッセージを公開およびサブスクライブできます。
シナリオ
エンタープライズAはApsaraMQ for RocketMQを購入しており、従業員はApsaraMQ forRocketMQリソース (インスタンス、トピック、グループなど) で操作を実行する必要があります。 リソースの作成、メッセージの公開、メッセージの購読など、さまざまな従業員がさまざまなジョブを担当します。 異なる役割を持つ従業員には、異なる権限が必要です。
次のセクションでは、特定のシナリオを紹介します。
- セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。 代わりに、エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与したいと考えています。
- RAMユーザーは、ユーザーが許可されているリソースのみを使用できます。 リソース使用量とコストは、RAMユーザーに対して個別に計算されません。 すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
- エンタープライズAは、いつでもRAMユーザーに付与された権限を取り消し、RAMユーザーを削除できます。
このシナリオでは、エンタープライズAのAlibaba Cloudアカウントに、リソースに対するきめ細かい権限を従業員に付与できます。
手順
- Enterprise aのAlibaba Cloudアカウントを使用してRAMユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
- オプション: Enterprise AのAlibaba Cloudアカウントを使用して、新しいRAMユーザーのカスタムポリシーを作成します。
詳細については、「カスタムポリシーの作成」をご参照ください。
ApsaraMQ for RocketMQは、インスタンス、トピック、およびグループの権限設定をサポートしています。 詳細については、「ApsaraMQ For RocketMQのカスタムポリシー」をご参照ください。
- Enterprise AのAlibaba Cloudアカウントを使用してRAMユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
次のステップ
Alibaba Cloudアカウントを使用してRAMユーザーを作成した後、RAMユーザーのRAMユーザー名とパスワードまたはAccessKeyペア情報を他の従業員に送信できます。 他の従業員は、次の手順を実行してコンソールにログインするか、RAMユーザーとしてAPI操作を呼び出すことができます。
- コンソールにログインします。
- ブラウザでRAMユーザーログインページを開きます。
- [RAMユーザーログイン] ページで、RAMユーザーのログイン名を入力し、[次へ] をクリックしてパスワードを入力し、[ログイン] をクリックします。説明 RAMユーザーのログイン名は、
<$username >@<$ AccountAlias>または<$username >@<$ AccountAlia s>.onaliyun.comの形式です。<$AccountAlias>はアカウントのエイリアスです。 アカウントエイリアスが設定されていない場合、Alibaba CloudアカウントのIDが使用されます。 - Alibaba Cloud管理コンソールのホームページの上部にある、検索ボックスにApsaraMQ forRocketMQと入力します。 検索結果をクリックして、ApsaraMQ for RocketMQコンソールを開きます。
- RAMユーザーとしてAPI操作を呼び出します。
API操作の呼び出しに使用するコードには、RAMユーザーのAccessKey IDとAccessKey secretを含めます。 詳細については、「AccessKey の作成」をご参照ください。