You need to enable JavaScript to run this app.
导航
基于 IAM 管理权限
最近更新时间:2023.12.27 10:52:03首次发布时间:2021.08.30 16:57:44

访问控制 IAM(Identity and Access Management)是火山引擎提供的权限管理服务,用于控制不同身份对云资源的访问权限。本文档介绍通过 IAM 服务管理消息队列 RocketMQ版资源的方式。

应用场景

企业用户使用火山引擎消息队列 RocketMQ版时,如果需要集中或统一管理某些资源,会选择在一个火山引擎账号下创建所有需要的资源。企业中各个岗位需要使用的火山引擎服务和资源不同,出于数据安全与权限隔离的的考虑,火山引擎账号下的所有资源应共享给各个子账号使用,各个岗位通过不同的子账号获取对应的服务与资源权限。
火山引擎访问控制(IAM)服务提供针对资源的精细化访问控制能力。您可以使用火山引擎主账号创建 IAM 用户,并对 IAM 用户赋予对应的权限策略,实现多人协作或多场景安全访问的目的。例如运维人员具备管理所有资源的权限,运营人员具备查看指定资源的权限。关于 IAM 的详细介绍,请参见访问控制 IAM
如果火山引擎主帐号已经能满足您的要求,不需要创建独立的 IAM 用户进行权限管理,您可以跳过本章节,不影响您使用消息队列 RocketMQ版的其他功能服务。

使用流程

  1. 通过火山引擎账号(主账号)身份登录 IAM 控制台。
  2. (可选)创建自定义策略。
    IAM 中的权限类型包括系统预置策略和用户自定义策略。如果系统预置策略不满足业务需求,需要提前创建自定义策略。创建自定义策略的操作步骤,请参考新建策略
  3. 创建 IAM 用户并授权。
    IAM 用户是 IAM 中的实体身份,每个 IAM 用户可以对应企业内的一个员工、系统或应用程序。IAM 用户不是独立的火山引擎账号,且不拥有任何资源,所有 IAM 用户创建的资源均由所属的火山引擎账号付费。
    创建 IAM 用户并授权的详细操作步骤,请参考访问控制快速入门
  4. 通过 IAM 用户管理或访问资源。
    通过 IAM 用户登录控制台使用对应的功能,或通过访问密钥调用对应功能的 API。

权限策略

策略以 API 接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,满足企业对权限最小化的安全管控要求。目前消息队列 RocketMQ版支持的权限策略包括系统预设策略和自定义策略。

系统预置策略

  • 全读写访问权限(RocketMQFullAccess):具备消息队列 RocketMQ版所有功能和所有资源的操作权限,例如创建或删除实例、创建或删除 Topic 等。
  • 只读访问权限(RocketMQReadOnlyAccess):仅具备消息队列 RocketMQ版资源的只读权限,不能执行新建、编辑或删除类型的操作。

用户自定义策略

如果系统预设的权限策略无法满足实际场景需求,需要更细粒度的权限策略,例如允许某个 IAM 用户查看某个实例的资源、允许或是禁止某个接口的操作权限,您可以创建用户自定义策略,并为指定 IAM 用户授权。
帐号具备所有接口的调用权限,如果使用帐号下的 IAM 用户发起 API 请求时,该 IAM 用户必须具备调用该接口所需的权限,否则,API 请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
自定义权限策略通过语法指定策略内容,其中的关键元素包括操作(Action)和资源(Resource)。自定义策略的语法请参考自定义策略。消息队列 RocketMQ版支持授权的资源类型及相关动作请参考可授权的资源和操作

  • Action:用户可进行的操作,例如创建实例、修改实例配置等。
  • Resource:可操作的资源范围,例如特定的实例。