OpenAPI的RAM授权规则-云消息队列 MQTT 版-阿里云

微消息队列MQTT版权限管理是通过阿里云的访问控制RAM（Resource Access Management）产品实现的。使用RAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKeyId和AccessKeySecret），按需为用户分配最小权限。在使用RAM用户调用阿里云OpenAPI前，需要主账号通过创建授权策略对RAM用户进行授权。

云消息队列 MQTT 版的Resource与Action的对应规则

在云消息队列 MQTT 版中，实例、Topic、Group和规则各为一种Resource，对这些Resource授予的权限即为Action。关于Resource的格式及格式说明，请参见资源（Resource）。

可授权的云消息队列 MQTT 版 OpenAPI

下表列举了云消息队列 MQTT 版中可授权的OpenAPI及其描述方式。

说明

如需访问云消息队列 MQTT 版的OpenAPI，则需有访问云消息队列 MQTT 版实例的权限，即mq:MqttInstanceAccess权限。

更多信息请参见权限策略。

API	Resource命名格式（实例无命名空间）	Resource命名格式（实例有命名空间）	Action描述
RevokeToken	实例：acs:mq:::{mqttInstanceId} Topic：acs:mq:::{topic} Group ID：acs:mq:::{groupId}	实例：acs:mq:::{mqttInstanceId} Topic：acs:mq:::{storeInstanceId}%{topic} Group ID：acs:mq:::{mqttInstanceId}%{groupId} 重要此处的storeInstanceId指您为云消息队列 MQTT 版实例绑定的持久化实例的ID。您可在云消息队列 MQTT 版控制台的实例详情页面获取绑定的持久化实例的ID。	mq:MqttInstanceAccess mq:RevokeToken
QueryToken			mq:MqttInstanceAccess mq:QueryToken
ApplyToken			mq:MqttInstanceAccess mq:ApplyToken
CreateGroupId			mq:MqttInstanceAccess mq:CreateGroupId
DeleteGroupId			mq:MqttInstanceAccess mq:DeleteGroupId
ListGroupId			mq:MqttInstanceAccess mq:ListGroupId