雲訊息佇列 RocketMQ 版支援雲賬戶(主帳號)給RAM使用者(子帳號)授予Topic資源層級的許可權,避免因暴露阿里雲帳號(主帳號)密鑰造成的安全風險。僅限有許可權的RAM使用者在雲訊息佇列 RocketMQ 版的控制台上管理資源,以及通過SDK/API發布與訂閱訊息。
應用情境
企業A購買了雲訊息佇列 RocketMQ 版服務,企業A的員工需要操作這些服務所涉及的資源,例如執行個體、Topic或Group資源,有的員工負責建立資源,有的負責發布訊息,還有的負責訂閱訊息。由於每個員工的工作職責不一樣,需要的許可權也不一樣。
具體情境說明如下:
- 出於安全或信任的考慮,企業A不希望將雲帳號密鑰直接透露給員工,而希望能給員工建立相應的使用者帳號。
- 使用者帳號只能在授權的前提下操作資源,不需要對使用者帳號單獨計量計費,所有開銷都計入企業A雲帳號名下。
- 企業A隨時可以撤銷使用者帳號的許可權,也可以隨時刪除其建立的使用者帳號。
此種情境下,A的雲帳號可以將需要員工進行操作的資源進行細粒度的許可權分隔。
操作步驟
- 企業A雲帳號建立RAM使用者。具體步驟參見建立RAM使用者。
- 可選:企業A雲帳號可根據需求為剛建立的RAM使用者建立自訂的策略。
具體步驟參見建立自訂權限原則。
目前,雲訊息佇列 RocketMQ 版支援執行個體、Topic和Group粒度的使用權限設定。詳情參見雲訊息佇列 RocketMQ 版自訂權限原則。
- 企業A雲帳號為RAM使用者授權。具體步驟參見為RAM使用者授權。
後續步驟
使用阿里雲帳號(主帳號)建立好RAM使用者後,即可將RAM使用者的登入名稱稱及密碼或者AccessKey資訊分發給其他使用者。其他使用者可以按照以下步驟使用RAM使用者登入控制台或調用API。
- 登入控制台。
- 在瀏覽器中開啟RAM使用者登入入口。
- 在RAM使用者登入頁面上,輸入RAM使用者登入名稱稱,單擊下一步,並輸入RAM使用者密碼,然後單擊登入。說明 RAM使用者登入名稱稱的格式為
<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號(主帳號)的ID。 - 在阿里雲控制台首頁頂部,找到搜尋文字框輸入並單擊訊息佇列for Apache RocketMQ,即可訪問雲訊息佇列 RocketMQ 版的控制台。
- 使用RAM使用者的AccessKey調用API。
在代碼中使用RAM使用者的AccessKey ID和AccessKey Secret即可,擷取方式,請參見建立AccessKey。