RocketMQ支持的访问控制方式 - 云消息队列 RocketMQ 版

云消息队列 RocketMQ 版支持通过RAM和ACL实现对云消息队列 RocketMQ 版资源的访问控制。

使用限制

若实例未开通用户身份识别功能，则需要提交工单申请开通，申请通过后控制台才会出现访问控制的操作入口。

类型	权限说明	授权对象	是否需要授权
RAM访问控制	RAM访问控制提供基于账号级别的权限控制，通过RAM用户授权按需为用户分配最小权限，避免多个用户共享阿里云账号密钥。 RAM的授权对象为RAM用户或RAM用户组；权限粒度为云消息队列 RocketMQ 版某一个OpenAPI或控制台的操作权限。例如，授予某个RAM用户用于创建Topic的权限，或者删除Group的权限。	OpenAPI接口调用权限控制台操作权限	阿里云账号：默认拥有所有权限，无需授权。 RAM用户：仅被授予相关权限后才能访问指定资源。
ACL访问控制	IP白名单控制仅在白名单中的客户端拥有访问云消息队列 RocketMQ 版指定实例的权限。说明不管使用公网访问还是VPC网络访问，配置的IP白名单均会生效。	指定客户端IP地址	默认所有客户端IP都可以接入云消息队列 RocketMQ 版实例。若设置了IP白名单，则只有在IP白名单中的客户端才能接入指定云消息队列 RocketMQ 版实例。
ACL访问控制	身份识别控制客户端是否能接入指定云消息队列 RocketMQ 版实例；以及是否对实例下的指定Topic或Group有发布订阅权限。	指定Group或Topic的发布订阅权限	系统默认使用智能身份验证，即客户端可通过实例生成的系统用户名密码进行身份验证，通过后拥有实例下所有Topic或Group的发布订阅权限。若使用ACL身份验证，则需要手动创建ACL用户，并为其授予指定资源的发布订阅权限，客户端使用ACL用户名密码访问时，只拥有指定资源的访问权限。】