MSE Nacos通过认证鉴权来保障引擎服务的配置信息和服务实例的元数据不被恶意非法获取和修改的风险。本文介绍Nacos注册配置中心控制台鉴权和客户端鉴权的使用。
前提条件
控制台鉴权
控制台鉴权是提供生成RAM用户访问MSE Nacos控制台所需的权限策略,您可以选择对应的鉴权粒度控制授权资源的范围,便捷地实现精准资源权限的管控。
登录MSE注册配置中心管理控制台,并在顶部菜单栏选择地域。
在左侧导航栏,选择注册配置中心 > 实例列表。
在实例列表页面,单击目标实例名称。
在左侧导航栏,选择安全防护 > 认证鉴权,在认证鉴权页面,单击控制台鉴权页签。
在控制台鉴权页签单击授权粒度下拉框选择以下注册配置中心的授权粒度和权限。
授权粒度
权限选择
说明
授权粒度
权限选择
说明
实例级
读写/只读
授予实例级权限时,被授权方将拥有该实例下配置及服务的所有资源的读写或只读权限,权限粒度较大。
命名空间级
被授权方将拥有该实例所对应命名空间下的配置及服务资源的读写或只读权限。
GROUP级
被授权方将拥有该实例对应命名空间下的分组(Group)的配置及服务资源的读写或只读权限。
可通过手动填写和名称匹配对应的分组名称。
若Nacos实例的命名空间中存在以下场景时:
不同分组(Group)注册了同名服务。
不同分组(Group)配置了相同Data ID的配置项。
若对该命名空间下的某个分组进行授权操作,则所有同名服务或同Data ID的其他分组将同步获得相同权限。
服务级
被授权方将拥有该实例对应的命名空间下的注册服务资源的读写或只读权限。
可通过列表选择和名称匹配对应的服务名称。
若Nacos实例的命名空间中存在同名服务关联多个分组(Group)时,服务授权列表仅显示单个服务条目。若对该服务执行授权操作,则与该服务名称关联的所有分组(Group)将同步获得相同权限。
配置级
被授权方将拥有该实例对应命名空间下的配置服务资源的读写或只读权限。
可通过列表选择和名称匹配对应的Data ID。
若Nacos实例的命名空间中存在相同Data ID关联多个分组(Group)时,配置授权列表仅显示单个同名Data ID。若对该Data ID执行授权操作,则所有与该Data ID绑定的分组(Group)将同步获得相同访问权限。
单击复制并创建新授权策略(请手动换至脚本编辑),在创建权限策略页面选择脚本编辑,粘贴复制的权限策略,单击确定,在创建权限策略弹框中,输入权限策略名称,单击确定。
请合理命名权限策略名称,防止误授权。
将已创建的权限策略授权给RAM用户。
客户端鉴权
客户端鉴权是为可信的MSE Nacos客户端授权访问注册配置中心,未授权的客户端无法通过访问注册配置中心数据。
登录MSE注册配置中心管理控制台,并在顶部菜单栏选择地域。
在左侧导航栏,选择注册配置中心 > 实例列表。
在实例列表页面,单击目标实例名称。
在左侧导航栏,选择安全防护 > 认证鉴权,在认证鉴权页面,单击客户端鉴权页签。
在客户端鉴权页签配置如下。
在权限策略设置中,配置如下并单击下一步。
授权粒度
权限选择
说明
授权粒度
权限选择
说明
命名空间级
读写/只读
被授权方将拥有该实例所对应命名空间下的配置及服务资源的读写或只读权限。
GROUP级
被授权方将拥有该实例对应命名空间下的分组(Group)的配置及服务资源的读写或只读权限。
可通过手动填写和名称匹配对应的分组名称。
若Nacos实例的命名空间中存在以下场景时:
不同分组(Group)注册了同名服务。
不同分组(Group)配置了相同Data ID的配置项。
若对该命名空间下的某个分组进行授权操作,则所有同名服务或同Data ID的其他分组将同步获得相同权限。
服务级
被授权方将拥有该实例对应的命名空间下的注册服务资源的读写或只读权限。
可通过列表选择和名称匹配对应的服务名称。
若Nacos实例的命名空间中存在同名服务关联多个分组(Group)时,服务授权列表仅显示单个服务条目。若对该服务执行授权操作,则与该服务名称关联的所有分组(Group)将同步获得相同权限。
配置级
被授权方将拥有该实例对应命名空间下的配置服务资源的读写或只读权限。
可通过列表选择和名称匹配对应的Data ID。
若Nacos实例的命名空间中存在相同Data ID关联多个分组(Group)时,配置授权列表仅显示单个同名Data ID。若对该Data ID执行授权操作,则所有与该Data ID绑定的分组(Group)将同步获得相同访问权限。
在访问凭证设置中,根据使用场景对认证和授权的要求,选择对应的方式初始化凭证提供者,单击下一步。
在当前鉴权状态中,单击前往开启鉴权,在参数设置页面单击编辑,选择ConfigAuthEnabled或NamingAuthEnabled参数,在值列,单击ConfigAuthEnabled或NamingAuthEnabled对应的是,然后单击保存并重启实例。
参数
说明
参数
说明
ConfigAuthEnabled
配置中心鉴权开关。支持基础版1.2.1及以上版本的实例,以及专业版及开发版全版本的实例。
NamingAuthEnabled
注册中心鉴权开关。支持专业版或开发版2.0.4及以上版本的实例。
- 本页导读 (1)
- 前提条件
- 控制台鉴权
- 客户端鉴权