雲Message QueueTT 版支援阿里雲帳號(主帳號)給RAM使用者(子帳號)授予執行個體、Topic、Group資源層級的許可權,避免因暴露阿里雲帳號密鑰造成的安全風險。僅限有許可權的RAM使用者在雲Message QueueTT 版的控制台上管理資源,以及通過SDK或API發布與訂閱訊息。
雲Message QueueTT 版目前還不支援跨雲帳號授權。
應用情境
企業A購買了雲Message QueueTT 版服務,企業A的員工需要操作這些服務所涉及的資源,例如執行個體、Topic或Group資源,比如有的負責建立資源,有的負責發布訊息,還有的負責訂閱訊息。由於每個員工的工作職責不一樣,需要的許可權也不一樣。
具體情境說明如下:
出於安全或信任的考慮,企業A不希望將阿里雲帳號密鑰直接透露給員工,而希望能給員工建立相應的使用者帳號。
使用者帳號只能在授權的前提下操作資源,不需要對使用者帳號單獨計量計費,所有開銷都計入企業A阿里雲帳號名下。
企業A隨時可以撤銷使用者帳號的許可權,也可以隨時刪除其建立的使用者帳號。
此種情境下,A的雲帳號可以將需要員工進行操作的資源進行細粒度的許可權分隔。
操作步驟
後續步驟
使用阿里雲帳號建立好RAM使用者後,即可將RAM使用者的登入名稱稱及密碼或者AccessKey資訊分發給其他使用者。其他使用者可以按照以下步驟使用RAM使用者登入控制台或調用API。
登入控制台
在瀏覽器中開啟RAM使用者登入入口。
在RAM使用者登入頁面上,輸入RAM使用者登入名稱稱,單擊下一步,並輸入RAM使用者密碼,然後單擊登入。
說明RAM使用者登入名稱稱的格式為
<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號的ID。在子使用者的首頁,單擊有許可權的產品,即可存取控制台。
重要MQTT控制台概覽頁面會展示您所有執行個體的資訊中繼資料,子帳號需要配置相應的許可權(mq:MqttMetaData)才能訪問概覽頁面和首頁,否則會導致訪問概覽頁、控制台首頁報錯。訪問概覽頁後,還需要配置相應執行個體的許可權(mq:ListMqttInstance),才能看到執行個體列表。
使用RAM使用者的AccessKey調用API
在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret即可。