微消息队列MQTT版权限管理是通过阿里云的访问控制RAM(Resource Access Management)实现的。使用RAM可以让您避免与其他用户共享云账号密钥,即AccessKey(包含AccessKey ID和AccessKey Secret),按需为用户分配最小权限。本文介绍微消息队列MQTT版在RAM中的权限策略。
在RAM中,权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的Resource(资源集)、Action(操作集)以及授权条件。微消息队列MQTT版有以下两类RAM的权限策略:
系统策略
微消息队列MQTT版目前提供四种系统默认的权限策略。
| 权限策略名称 | 说明 |
|---|---|
| AliyunMQFullAccess | 管理微消息队列MQTT版的权限,等同于阿里云账号的权限,被授予该权限的RAM用户具有所有消息收发权限且有控制台所有功能操作权限。 |
| AliyunMQPubOnlyAccess | 微消息队列MQTT版的发布权限,被授予该权限的RAM用户具有使用阿里云账号所有资源通过SDK发送消息的权限。 |
| AliyunMQSubOnlyAccess | 微消息队列MQTT版的订阅权限,被授予该权限的RAM用户具有使用阿里云账号所有资源通过SDK订阅消息的权限。 |
| AliyunMQReadOnlyAccess | 微消息队列MQTT版的只读权限,被授予该权限的RAM用户仅有通过访问控制台或调用管控API读取资源信息的权限。 |
自定义策略
自定义权限策略(Policy)可以满足您更细粒度的授权需求。
微消息队列MQTT版的Resource与Action的对应规则如下所述。
在微消息队列MQTT版中,实例、Topic和Group各为一种Resource,对这些Resource授予的权限即为Action。Topic和Group的Resource命名格式因实例是否有命名空间而异。您可在微消息队列MQTT版控制台的实例详情页面查看实例是否有命名空间。
微消息队列MQTT版的Resource和Action的可选值和对应规则可分为控制台、OpenAPI和微消息队列MQTT版客户端三大类类。针对控制台资源的相关操作,按资源类型又可分为实例、Topic和Group三类。
MQTT客户端收发消息权限
- 有命名空间
- Topic:acs:mq:*:*:{storeInstanceId}%{topic}
- Group ID:acs:mq:*:*:{mqttInstanceId}%{groupid}
注意 此处的storeInstanceid指您为微消息队列MQTT版实例绑定的持久化实例的ID。您可在微消息队列MQTT版控制台的实例详情页面获取绑定的持久化实例的ID。 - 无命名空间
- Topic:acs:mq:*:*:{topic}
- Group ID:acs:mq:*:*:{groupid}
| Action名称 | Action描述 | 备注 |
|---|---|---|
| mq:PUB | 消息发布 | 授予某RAM用户Topic的相关权限前,需授予该用户Topic所在实例的mq:MqttInstanceAccess权限。 |
| mq:SUB | 消息订阅 |
控制台实例操作权限
不论您的微消息队列MQTT版实例是否有独立命名空间,Resource命名格式都统一为acs:mq:*:*:{mqttInstanceId}。涉及的Action及相关说明如下表所示。
| Action名称 | Action说明 | 备注 |
|---|---|---|
| mq:MqttInstanceAccess | 查询指定实例的基本信息 | 授予某RAM用户Topic和Group的相关权限前,需授予该用户Topic和Group所在实例的mq:MqttInstanceAccess权限。 |
| mq:DeleteMqttInstance | 删除实例 | 无 |
| mq:UpdateMqttInstance | 变更实例的信息 | 无 |
| mq:BindMqttInstance | 绑定实例 | 如果业务需要绑定实例,需要具备操作指定的微消息队列MQTT版实例以及绑定的持久化实例的权限,持久化实例的权限设置,请参见对应产品的权限控制策略。 |
| mq:ListMqttInstance | 获取实例列表 | 无 |
| mq:UpdateMqttInstanceWarn | 更新指定实例的报警信息 | 无 |
控制台Topic操作权限
- 有命名空间:acs:mq:*:*:{storeInstanceId}%{topic}
注意 此处的storeInstanceid指您为微消息队列MQTT版实例绑定的持久化实例的ID。您可在微消息队列MQTT版控制台的实例详情页面获取绑定的持久化实例的ID。
- 无命名空间:acs:mq:*:*:{topic}
| Action名称 | Action说明 | 备注 |
|---|---|---|
| mq:QueryMqttClientByTopic | 根据Topic查询订阅的客户端信息 | 授予某RAM用户Topic和Group的相关权限前,需授予该用户Topic和Group所在实例的mq:MqttInstanceAccess权限。 |
| mq:QueryMqttMsgTransTrend | 根据Topic查询消息的收发报表 | |
| mq:SendMqttMessageByConsole | 控制台发消息测试 |
控制台Group ID操作权限
- 有命名空间:acs:mq:*:*:{mqttInstanceId}%{groupId}
注意 此处如果是有独立命名空间的实例,则Group ID需要拼接微消息队列MQTT版实例ID作为前缀。
- 无命名空间:acs:mq:*:*:{groupId}
| Action名称 | Action说明 | 备注 |
|---|---|---|
| mq:CreateMqttGroupId | 创建Group ID | 授予某RAM用户Topic和Group的相关权限前,需授予该用户Topic和Group所在实例的“mq:MqttInstanceAccess”权限。 |
| mq:ListMqttGroupId | 获取Group ID列表 | |
| mq:QueryMqttClientByClientId | 根据Client ID查询设备信息 | |
| mq:QueryMqttClientByGroupId | 根据Group ID查询设备信息 | |
| mq:QueryMqttHistoryOnline | 根据Group ID查询历史在线设备信息 | |
| mq:DeleteMqttGroupId | 删除Group ID | |
| mq:QueryMqttDeviceTrace | 查询设备轨迹 | |
| mq:QueryMqttDeviceTrace | 查询设备的相关消息 |
OpenAPI权限
| API | Resource命名格式(实例无命名空间) | Resource命名格式(实例有命名空间) | Action描述 |
|---|---|---|---|
| RevokeToken |
|
|
|
| QueryToken |
|
||
| ApplyToken |
|
||
| CreateGroupId |
|
||
| DeleteGroupId |
|
||
| ListGroupId |
|