文档

访问控制概述

更新时间:
一键部署

云消息队列 RocketMQ 版支持通过RAM和ACL实现对云消息队列 RocketMQ 版资源的访问控制。

使用限制

  • 按量付费实例和包年包月实例需要先开启公网访问功能,控制台才会出现IP白名单编辑入口。如何开启公网访问,请参见实例升降配

    客户端不管使用公网访问还是VPC网络访问,配置的IP白名单均会生效。

  • 按量付费实例和包年包月实例使用用户身份识别功能需要提交工单申请开通,申请通过后控制台才会出现访问控制的操作入口。

类型

权限说明

授权对象

是否需要授权

RAM访问控制

  • RAM访问控制提供基于账号级别的权限控制,通过RAM用户授权按需为用户分配最小权限,避免多个用户共享阿里云账号密钥。

  • RAM的授权对象为RAM用户或RAM用户组;权限粒度为云消息队列 RocketMQ 版某一个OpenAPI或控制台的操作权限。例如,授予某个RAM用户用于创建Topic的权限,或者删除Group的权限。

  • OpenAPI接口调用权限

  • 控制台操作权限

  • 阿里云账号:默认拥有所有权限,无需授权。

  • RAM用户:仅被授予相关权限后才能访问指定资源。

ACL访问控制

IP白名单

控制仅在白名单中的客户端拥有访问云消息队列 RocketMQ 版指定实例的权限。

指定客户端IP地址

  • 默认所有客户端IP都可以接入云消息队列 RocketMQ 版实例。

  • 若设置了IP白名单,则只有在IP白名单中的客户端才能接入指定云消息队列 RocketMQ 版实例。

身份识别

控制客户端是否能接入指定云消息队列 RocketMQ 版实例;以及是否对实例下的指定Topic或Group有发布订阅权限。

指定Group或Topic的发布订阅权限

  • 系统默认使用智能身份验证,即客户端可通过实例生成的系统用户名密码进行身份验证,通过后拥有实例下所有Topic或Group的发布订阅权限。

  • 若使用ACL身份验证,则需要手动创建ACL用户,并为其授予指定资源的发布订阅权限,客户端使用ACL用户名密码访问时,只拥有指定资源的访问权限。

  • 本页导读 (1)