AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 微服务引擎 操作指南 微服务注册配置中心 Nacos引擎实例 安全防护 认证鉴权

认证鉴权

更新时间:
产品详情
我的收藏

MSE Nacos通过认证鉴权来保障引擎服务的配置信息和服务实例的元数据不被恶意非法获取和修改的风险。本文介绍Nacos注册配置中心控制台鉴权和客户端鉴权的使用。

前提条件

控制台鉴权

控制台鉴权是提供生成RAM用户访问MSE Nacos控制台所需的权限策略,您可以选择对应的鉴权粒度控制授权资源的范围,便捷地实现精准资源权限的管控。

  1. 登录MSE注册配置中心管理控制台,并在顶部菜单栏选择地域。

  2. 在左侧导航栏,选择注册配置中心 > 实例列表

  3. 实例列表页面,单击目标实例名称。

  4. 在左侧导航栏,选择安全防护 > 认证鉴权,在认证鉴权页面,单击控制台鉴权页签。

  5. 控制台鉴权页签单击授权粒度下拉框选择以下注册配置中心的授权粒度和权限。

    授权粒度

    权限选择

    说明

    实例级

    读写/只读

    授予实例级权限时,被授权方将拥有该实例下配置及服务的所有资源的读写或只读权限,权限粒度较大。

    命名空间级

    被授权方将拥有该实例所对应命名空间下的配置及服务资源的读写或只读权限。

    GROUP

    • 被授权方将拥有该实例对应命名空间下的分组(Group)的配置及服务资源的读写或只读权限。

    • 可通过手动填写名称匹配对应的分组名称。

    重要

    Nacos实例的命名空间中存在以下场景时:

    • 不同分组(Group)注册了同名服务。

    • 不同分组(Group)配置了相同Data ID的配置项。

    若对该命名空间下的某个分组进行授权操作,则所有同名服务或同Data ID的其他分组将同步获得相同权限。

    服务级

    • 被授权方将拥有该实例对应的命名空间下的注册服务资源的读写或只读权限。

    • 可通过列表选择名称匹配对应的服务名称。

    重要

    Nacos实例的命名空间中存在同名服务关联多个分组(Group)时,服务授权列表仅显示单个服务条目。若对该服务执行授权操作,则与该服务名称关联的所有分组(Group)将同步获得相同权限。

    配置级

    • 被授权方将拥有该实例对应命名空间下的配置服务资源的读写或只读权限。

    • 可通过列表选择名称匹配对应的Data ID。

    重要

    Nacos实例的命名空间中存在相同Data ID关联多个分组(Group)时,配置授权列表仅显示单个同名Data ID。若对该Data ID执行授权操作,则所有与该Data ID绑定的分组(Group)将同步获得相同访问权限。

  6. 单击复制并创建新授权策略(请手动换至脚本编辑),在创建权限策略页面选择脚本编辑,粘贴复制的权限策略,单击确定,在创建权限策略弹框中,输入权限策略名称,单击确定

    说明

    请合理命名权限策略名称,防止误授权。

  7. 将已创建的权限策略授权给RAM用户

客户端鉴权

客户端鉴权是为可信的MSE Nacos客户端授权访问注册配置中心,未授权的客户端无法通过访问注册配置中心数据。

  1. 登录MSE注册配置中心管理控制台,并在顶部菜单栏选择地域。

  2. 在左侧导航栏,选择注册配置中心 > 实例列表

  3. 实例列表页面,单击目标实例名称。

  4. 在左侧导航栏,选择安全防护 > 认证鉴权,在认证鉴权页面,单击客户端鉴权页签。

  5. 在客户端鉴权页签配置如下。

    1. 权限策略设置中,配置如下并单击下一步

      1. 单击授权粒度下拉框,选择需要授权的注册配置中心粒度和权限。单击复制并创建新授权策略(请手动换至脚本编辑),在创建权限策略页面选择脚本编辑,粘贴复制的权限策略,单击确定,在创建权限策略弹框中,输入权限策略名称,单击确定

      2. 将已创建的权限策略授权给RAM用户RAM角色授权

        说明

        建议为应用创建控制台访问的RAM用户,防止权限扩大风险。

      授权粒度

      权限选择

      说明

      命名空间级

      读写/只读

      被授权方将拥有该实例所对应命名空间下的配置及服务资源的读写或只读权限。

      GROUP

      • 被授权方将拥有该实例对应命名空间下的分组(Group)的配置及服务资源的读写或只读权限。

      • 可通过手动填写名称匹配对应的分组名称。

      重要

      Nacos实例的命名空间中存在以下场景时:

      • 不同分组(Group)注册了同名服务。

      • 不同分组(Group)配置了相同Data ID的配置项。

      若对该命名空间下的某个分组进行授权操作,则所有同名服务或同Data ID的其他分组将同步获得相同权限。

      服务级

      • 被授权方将拥有该实例对应的命名空间下的注册服务资源的读写或只读权限。

      • 可通过列表选择名称匹配对应的服务名称。

      重要

      Nacos实例的命名空间中存在同名服务关联多个分组(Group)时,服务授权列表仅显示单个服务条目。若对该服务执行授权操作,则与该服务名称关联的所有分组(Group)将同步获得相同权限。

      配置级

      • 被授权方将拥有该实例对应命名空间下的配置服务资源的读写或只读权限。

      • 可通过列表选择名称匹配对应的Data ID。

      重要

      Nacos实例的命名空间中存在相同Data ID关联多个分组(Group)时,配置授权列表仅显示单个同名Data ID。若对该Data ID执行授权操作,则所有与该Data ID绑定的分组(Group)将同步获得相同访问权限。

    2. 访问凭证设置中,根据使用场景对认证和授权的要求,选择对应的方式初始化凭证提供者,单击下一步

    3. 当前鉴权状态中,单击前往开启鉴权,在参数设置页面单击编辑,选择ConfigAuthEnabledNamingAuthEnabled参数,在列,单击ConfigAuthEnabledNamingAuthEnabled对应的,然后单击保存并重启实例

      参数

      说明

      ConfigAuthEnabled

      配置中心鉴权开关。支持基础版1.2.1及以上版本的实例,以及专业版及开发版全版本的实例。

      NamingAuthEnabled

      注册中心鉴权开关。支持专业版或开发版2.0.4及以上版本的实例。

上一篇:安全防护下一篇:ZooKeeper引擎实例