文档

RAM权限策略

更新时间:

如果您希望按需为其他用户分配最小权限,不与其他用户共享阿里云账号密钥,即AccessKey(包含AccessKey ID和AccessKey Secret)时,您可以通过访问控制RAM(Resource Access Management)管理云消息队列 Kafka 版的控制台和API的权限,从而确保资源安全。

RAM权限策略

在RAM中,权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范,RAM支持的语言规范请参见权限策略语法和结构

在RAM中,权限策略是一种资源实体。云消息队列 Kafka 版支持以下两种类型的权限策略:

  • 系统权限策略:统一由阿里云创建,您只能使用不能修改,策略的版本更新由阿里云维护,适用于粗粒度地控制RAM用户权限。

  • 自定义权限策略:您可以自主创建、更新和删除,策略的版本更新由您自己维护,适用于细粒度地控制RAM用户权限。

系统权限策略

云消息队列 Kafka 版支持以下系统权限策略。

权限策略名称

说明

AliyunKafkaFullAccess

云消息队列 Kafka 版的管理权限,被授予该权限的RAM用户具有等同于阿里云账号的权限,即控制台和API的所有操作权限。

AliyunKafkaReadOnlyAccess

云消息队列 Kafka 版的只读权限,被授予该权限的RAM用户只具有阿里云账号所有资源的只读权限,不具有控制台和API的操作权限。

系统权限策略示例

以系统权限策略AliyunKafkaFullAccess为例,被授予该权限的RAM用户具有等同于阿里云账号的权限,即控制台和API的所有操作权限。策略内容如下:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "alikafka:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "connector.alikafka.aliyuncs.com",
                        "instanceencryption.alikafka.aliyuncs.com",
                        "alikafka.aliyuncs.com",
                        "etl.alikafka.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

自定义权限策略

云消息队列 Kafka 版支持以下自定义权限策略。

Action名称

权限说明

是否为只读类权限

ReadOnly

只读所有资源

ListInstance

查看实例

StartInstance

部署实例

UpdateInstance

更新实例配置

ReleaseInstance

释放实例

ListTopic

查看Topic

CreateTopic

创建Topic

UpdateTopic

更新Topic配置

DeleteTopic

删除Topic

ListGroup

查看Group

CreateGroup

创建Group

UpdateGroup

更新Group配置

DeleteGroup

删除Group

QueryMessage

查询消息

SendMessage

发送消息

DownloadMessage

下载消息

CreateMessageSearch

开通消息检索

OperateMessageSearch

启停消息检索

ListMessageSearch

查看消息检索

DeleteMessageSearch

删除消息检索任务

CreateDeployment

  • 创建FC Sink Connector任务

  • 创建MaxCompute Sink Connector任务

  • 创建OSS Sink Connector任务

  • 创建Elasticsearch Sink Connector任务

  • 创建MySQL Source Connector任务

  • 创建DLA Sink Connector任务

DeleteDeployment

  • 删除FC Sink Connector任务

  • 删除MaxCompute Sink Connector任务

  • 删除OSS Sink Connector任务

  • 删除Elasticsearch Sink Connector任务

  • 删除MySQL Source Connector任务

  • 删除DLA Sink Connector任务

ListDeployments

查看Connector任务

UpdateDeploymentRemark

修改Connector任务说明

GetDeploymentLog

获取Connector任务运行日志

OperateDeployment

启停Connector任务

CreateOtsSinkDeployment

创建Tablestore Sink Connector任务

OperateOtsSinkDeployment

启停Tablestore Sink Connector任务

DeleteOtsSinkDeployment

删除Tablestore Sink Connector任务

CreateAdbSinkDeployment

创建AnalyticDB Sink Connector任务

OperateAdbSinkDeployment

启停AnalyticDB Sink Connector任务

DeleteAdbSinkDeployment

删除AnalyticDB Sink Connector任务

EnableAcl

开启ACL

CreateAcl

创建ACL

DeleteAcl

删除ACL

ListAcl

查询ACL

CreateSaslUser

创建SASL用户

DeleteSaslUser

删除SASL用户

ListSaslUser

查询SASL用户

CreateETLTask

创建数据处理任务

ListETLTask

查询数据处理任务

DeleteETLTask

删除数据处理任务

自定义权限策略示例

以自己创建的自定义权限策略AliyunKafkaCustomAccess为例,被授予该权限策略的RAM用户只具有实例alikafka_post-cn-xxx的查看实例、查看Topic、查看Group、查询消息和下载消息的控制台和API的权限。策略内容如下:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "alikafka:ListInstance",
              "alikafka:ListTopic",
              "alikafka:ListGroup",
              "alikafka:QueryMessage",
              "alikafka:DownloadMessage"
                       ],
            "Resource": "acs:alikafka:*:*:alikafka_post-cn-xxx",
            "Effect": "Allow"
        }
    ]
}

相关文档

如何对RAM用户授权,请参见RAM主子账号授权RAM跨云账号授权

  • 本页导读 (1)
文档反馈