本文为您介绍云消息队列 RocketMQ 版的授权范围和授权操作。
背景信息
云消息队列 RocketMQ 版支持通过RAM管理权限。RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源的访问权限。
RAM的更多信息,请参见什么是访问控制。
权限范围
云消息队列 RocketMQ 版资源的权限根据使用方式可分为以下几种类型:
权限范围 | 说明 | 是否需要授权 |
OpenAPI接口调用权限 | 调用指定API接口管理云消息队列 RocketMQ 版的资源。例如,通过接口创建实例、删除Topic、查询消息等。 |
|
控制台操作权限 | 在云消息队列 RocketMQ 版控制台进行指定操作。例如,在控制台创建实例、删除Topic、查询消息等。 |
|
SDK消息收发权限 | 调用SDK客户端接入云消息队列 RocketMQ 版服务端收发消息。 | 云消息队列 RocketMQ 版5.x系列实例默认采用VPC私网识别身份,默认阿里云账号和RAM用户都具有消息收发权限,暂不需要通过RAM权限校验消息收发权限。 |
授权操作
云消息队列 RocketMQ 版支持的授权操作如下:
授权操作 | 授权场景 | 权限范围 | 授权粒度 |
阿里云账号给其所属的RAM用户授权。 被授予权限的RAM用户可以通过OpenAPI或控制台管理阿里云账户的指定资源。 |
|
| |
阿里云账号A给其他阿里云账号B的RAM用户授权。 阿里云账号B的RAM用户可以通过OpenAPI或控制台管理阿里云账号A的指定资源。 |
| ||
阿里云主账号通过扮演指定的服务关联角色,获取该角色被授予的相关云服务的访问权限。 RAM用户自动继承阿里云账号的服务关联角色。 | 服务关联角色(RAM角色) | 指定云服务的访问权限。 |
版本兼容性
云消息队列 RocketMQ 版服务端5.x版本和云消息队列 RocketMQ 版4.x版本的权限策略不同,需要独立授权。
例如,您使用4.x版本的权限策略为指定RAM用户授予控制台的所有操作权限,该RAM用户可在控制台对4.x版本的资源进行操作。若您需要在控制台管理5.x版本资源,您需要根据5.x版本权限策略为该RAM用户重新授权。