基于 IAM 管理权限

访问控制 IAM（Identity and Access Management）是火山引擎提供的权限管理服务，用于控制不同身份对云资源的访问权限。本文档介绍通过 IAM 服务管理消息队列 RocketMQ版资源的方式。

应用场景

企业用户使用火山引擎消息队列 RocketMQ版时，如果需要集中或统一管理某些资源，会选择在一个火山引擎账号下创建所有需要的资源。企业中各个岗位需要使用的火山引擎服务和资源不同，出于数据安全与权限隔离的的考虑，火山引擎账号下的所有资源应共享给各个子账号使用，各个岗位通过不同的子账号获取对应的服务与资源权限。
火山引擎访问控制（IAM）服务提供针对资源的精细化访问控制能力。您可以使用火山引擎主账号创建 IAM 用户，并对 IAM 用户赋予对应的权限策略，实现多人协作或多场景安全访问的目的。例如运维人员具备管理所有资源的权限，运营人员具备查看指定资源的权限。关于 IAM 的详细介绍，请参见访问控制 IAM。
如果火山引擎主帐号已经能满足您的要求，不需要创建独立的 IAM 用户进行权限管理，您可以跳过本章节，不影响您使用消息队列 RocketMQ版的其他功能服务。

使用流程

1. 通过火山引擎账号（主账号）身份登录 IAM 控制台。
2. （可选）创建自定义策略。
   IAM 中的权限类型包括系统预置策略和用户自定义策略。如果系统预置策略不满足业务需求，需要提前创建自定义策略。创建自定义策略的操作步骤，请参考新建策略。
3. 创建 IAM 用户并授权。
   IAM 用户是 IAM 中的实体身份，每个 IAM 用户可以对应企业内的一个员工、系统或应用程序。IAM 用户不是独立的火山引擎账号，且不拥有任何资源，所有 IAM 用户创建的资源均由所属的火山引擎账号付费。
   创建 IAM 用户并授权的详细操作步骤，请参考访问控制快速入门。
4. 通过 IAM 用户管理或访问资源。
   通过 IAM 用户登录控制台使用对应的功能，或通过访问密钥调用对应功能的 API。

权限策略

策略以 API 接口为粒度进行权限拆分，授权更加精细，可以精确到某个操作、资源和条件，满足企业对权限最小化的安全管控要求。目前消息队列 RocketMQ版支持的权限策略包括系统预设策略和自定义策略。

系统预置策略

• 全读写访问权限（RocketMQFullAccess）：具备消息队列 RocketMQ版所有功能和所有资源的操作权限，例如创建或删除实例、创建或删除 Topic 等。
• 只读访问权限（RocketMQReadOnlyAccess）：仅具备消息队列 RocketMQ版资源的只读权限，不能执行新建、编辑或删除类型的操作。

用户自定义策略

如果系统预设的权限策略无法满足实际场景需求，需要更细粒度的权限策略，例如允许某个 IAM 用户查看某个实例的资源、允许或是禁止某个接口的操作权限，您可以创建用户自定义策略，并为指定 IAM 用户授权。
帐号具备所有接口的调用权限，如果使用帐号下的 IAM 用户发起 API 请求时，该 IAM 用户必须具备调用该接口所需的权限，否则，API 请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。
自定义权限策略通过语法指定策略内容，其中的关键元素包括操作（Action）和资源（Resource）。自定义策略的语法请参考自定义策略。消息队列 RocketMQ版支持授权的资源类型及相关动作请参考可授权的资源和操作。

• Action：用户可进行的操作，例如创建实例、修改实例配置等。
• Resource：可操作的资源范围，例如特定的实例。