微消息队列 MQTT 版权限管理是通过阿里云的访问控制 RAM(Resource Access Management)产品实现的。使用 RAM 可以让您避免与其他用户共享云账号密钥,即 AccessKey(包含 AccessKeyId 和 AccessKeySecret),按需为用户分配最小权限。在使用 RAM 账号调用阿里云 OpenAPI 前,需要主账号通过创建授权策略对 RAM 账号进行授权。

微消息队列 MQTT 版的 Resource 与 Action 的对应规则

微消息队列 MQTT 版中,实例、Topic 和 Group 各为一种 Resource,对这些 Resource 授予的权限即为 Action。Topic 和 Group 的 Resource 命名格式因实例是否有命名空间而异。您可在微消息队列 MQTT 版控制台的实例详情页面查看实例是否有命名空间。

可授权的微消息队列 MQTT 版 OpenAPI

下表列举了微消息队列 MQTT 版中可授权的 OpenAPI 及其描述方式。

说明 如需访问微消息队列 MQTT 版的 OpenAPI,则需有访问微消息队列 MQTT 版实例的权限,即 mq:MqttInstanceAccess 权限。

更多信息请参见权限策略

API Resource 命名格式(实例无命名空间) Resource 命名格式(实例有命名空间) Action 描述
RevokeToken
  • 实例:acs:mq:*:*:{mqttInstanceId}
  • Topic:acs:mq:*:*:{topic}
  • Group ID:acs:mq:*:*:{groupId}
  • 实例:acs:mq:*:*:{mqttInstanceId}
  • Topic:acs:mq:*:*:{storeInstanceId}%{topic}
  • Group ID:acs:mq:*:*:{mqttInstanceId}%{groupId}
注意 此处的 {storeInstanceid} 指您为微消息队列 MQTT 版实例绑定的持久化实例的 ID。您可在微消息队列 MQTT 版控制台的实例详情页面获取绑定的持久化实例的 ID。
  • mq:MqttInstanceAccess
  • mq:RevokeToken
QueryToken
  • mq:MqttInstanceAccess
  • mq:QueryToken
ApplyToken
  • mq:MqttInstanceAccess
  • mq:ApplyToken
CreateGroupId
  • mq:MqttInstanceAccess
  • mq:CreateGroupId
DeleteGroupId
  • mq:MqttInstanceAccess
  • mq:DeleteGroupId
ListGroupId
  • mq:MqttInstanceAccess
  • mq:ListGroupId