すべてのプロダクト
Search
ドキュメントセンター

ApsaraMQ for RocketMQ:アクセス制御の概要

最終更新日:Aug 20, 2024

ApsaraMQ for RocketMQでは、リソースアクセス管理 (RAM) とアクセス制御リスト (ACL) を使用して、ApsaraMQ for RocketMQリソースへのアクセスを制御できます。

制限事項

ApsaraMQ for RocketMQインスタンスでユーザー認証機能が有効になっていない場合、 チケットを起票し、機能を有効にするために申請します。 アクセス制御のエントリポイントは、申請が承認された後にのみ表示されます。

データ型

説明

権限付与オブジェクト

権限付与が必要かどうか

RAM

  • RAMは、アカウントレベルの権限制御を提供します。 RAMを使用して、ユーザーに最小限の権限を付与できます。 これにより、Alibaba CloudアカウントのAccessKeyペアの共有による問題を防ぐことができます。

  • RAMを使用して、ApsaraMQ for RocketMQコンソールで、または特定のAPI操作を使用して、RAMユーザーまたはユーザーグループに操作を実行する権限を付与できます。 たとえば、トピックを作成したり、グループを削除したりする権限をRAMユーザーに付与できます。

  • API 操作

  • ApsaraMQ for RocketMQコンソール

  • Alibaba Cloudアカウント: デフォルトでは、すべての権限が付与されます。 承認は必要ありません。

  • RAMユーザー: 関連する権限が付与された場合にのみ、特定のリソースにアクセスできます。

ACL

IPアドレスホワイトリストは、権限を制御するために使用されます。

ApsaraMQ for RocketMQインスタンスのIPアドレスホワイトリストを設定して、インスタンスにアクセスできるIPアドレスを指定できます。

説明

ApsaraMQ for RocketMQインスタンス用に設定したIPアドレスホワイトリストは、インターネット経由でインスタンスにアクセスするかVPC内でアクセスするかに関係なく、常に有効になります。

クライアントのIPアドレス

  • デフォルトでは、すべてのクライアントIPアドレスがApsaraMQ for RocketMQインスタンスにアクセスできます。

  • ApsaraMQ for RocketMQインスタンスのIPアドレスホワイトリストを設定した場合、IPアドレスホワイトリスト内のIPアドレスのみがインスタンスにアクセスできます。

ユーザー認証は権限を制御するために使用されます。

ユーザー認証を使用して、クライアントがApsaraMQ for RocketMQインスタンスにアクセスできるかどうか、およびクライアントが特定のトピックまたはグループにメッセージをパブリッシュまたはサブスクライブできるかどうかを指定できます。

グループとトピック

  • デフォルトでは、システムはインテリジェント認証方法を使用します。 この方法では、システムはインスタンスに割り当てられたユーザー名とパスワードに基づいてクライアントを認証します。 クライアントが認証に合格した後、クライアントはインスタンス上のすべてのトピックとグループにメッセージを発行したり、メッセージをサブスクライブしたりできます。

  • ACLベースの認証方法を使用する場合は、ACLユーザーを手動で作成し、特定のトピックまたはグループにメッセージを発行または購読する権限をユーザーに付与する必要があります。 この方法では、クライアントはACLユーザーのユーザー名とパスワードを使用して、ApsaraMQ for RocketMQインスタンスの指定されたトピックまたはグループにアクセスできます。