权限概述-阿里云帮助中心

本文为您介绍云消息队列 RocketMQ 版的授权范围和授权操作。

背景信息

云消息队列 RocketMQ 版支持通过RAM管理权限。RAM允许在一个阿里云账号下创建并管理多个身份，并允许给单个身份或一组身份分配不同的权限，从而实现不同用户拥有不同资源的访问权限。

RAM的更多信息，请参见什么是访问控制。

云消息队列 RocketMQ 版资源的权限根据使用方式可分为以下几种类型：

权限范围	说明	是否需要授权
OpenAPI接口调用权限	调用指定API接口管理云消息队列 RocketMQ 版的资源。例如，通过接口创建实例、删除Topic、查询消息等。	阿里云账号：默认拥有所有权限，无需授权。 RAM用户：仅被授予相关权限后才能访问指定资源。
控制台操作权限	在云消息队列 RocketMQ 版控制台进行指定操作。例如，在控制台创建实例、删除Topic、查询消息等。	阿里云账号：默认拥有所有权限，无需授权。 RAM用户：仅被授予相关权限后才能访问指定资源。
SDK消息收发权限	调用SDK客户端接入云消息队列 RocketMQ 版服务端收发消息。	云消息队列 RocketMQ 版5.x系列实例默认采用VPC私网识别身份，默认阿里云账号和RAM用户都具有消息收发权限，暂不需要通过RAM权限校验消息收发权限。

云消息队列 RocketMQ 版支持的授权操作如下：

授权操作	授权场景	权限范围	授权粒度
RAM主子账号授权	阿里云账号给其所属的RAM用户授权。被授予权限的RAM用户可以通过OpenAPI或控制台管理阿里云账户的指定资源。	OpenAPI接口调用权限控制台操作权限	系统资源：以云消息队列 RocketMQ 版服务的所有资源为粒度，授予RAM用户指定的操作权限。自定义权限：以指定资源为粒度，例如授予某个实例、某个Topic或某个Group的操作权限。
通过RAM角色实现跨云账号授权	阿里云账号A给其他阿里云账号B的RAM用户授权。阿里云账号B的RAM用户可以通过OpenAPI或控制台管理阿里云账号A的指定资源。	OpenAPI接口调用权限控制台操作权限
服务关联角色	阿里云主账号通过扮演指定的服务关联角色，获取该角色被授予的相关云服务的访问权限。 RAM用户自动继承阿里云账号的服务关联角色。	服务关联角色（RAM角色）	指定云服务的访问权限。

云消息队列 RocketMQ 版服务端5.x版本和云消息队列 RocketMQ 版4.x版本的权限策略不同，需要独立授权。

例如，您使用4.x版本的权限策略为指定RAM用户授予控制台的所有操作权限，该RAM用户可在控制台对4.x版本的资源进行操作。若您需要在控制台管理5.x版本资源，您需要根据5.x版本权限策略为该RAM用户重新授权。