You need to enable JavaScript to run this app.
导航
云原生消息引擎
  • 文档首页
    • /
  • 云原生消息引擎

项目权限概述

最近更新时间2024.02.28 19:27:40

首次发布时间2023.01.19 17:01:15

我的收藏

本文介绍云原生消息引擎的项目权限管理的基本信息,以帮助您在项目中更方便的进行权限细粒度管控。

背景信息

云原生消息引擎在 IAM 主子账号鉴权体系基础上,加入了项目和资源级别的权限管控策略。请查看下表中的几个概念,能有效的帮助您了解云原生消息引擎的项目权限管控。

术语

描述

主账号

主账号,即系统管理员。是资源归属的主体,一般使用用户名作为账号的登录标识。
主账号主要负责在 BMQ 控制台上创建项目,并指派责任人。

子用户

子用户,又称 IAM 用户,是主账号下的授权实体,也是主账号的一种资源。
IAM 用户被主账号创建时,被设置了访问密码和授予BmqFullAccess权限,可以登录 BMQ 控制台。
默认情况下,IAM 用户没有任何权限,且不拥有任何服务资源。

项目负责人

项目负责人是项目的唯一负责人,拥有项目内所有权限。
项目负责人本质上也是项目成员之一,支持将转负责人权限转让给其他成员。

成员

IAM 用户可以被添加为项目成员,成员关联角色即拥有该角色的权限。

角色

系统预设了 Project_Admin、Project_Dev、Project_OPS 和 Project_Member 四种角色,已基本适用于日常的项目活动。

  • Project_Admin:项目管理员。主要负责管理项目成员、角色和策略,以及资源池、Topic 、Consumer Group 等项目资源的管理工作。
  • Project_Dev:项目开发人员。拥有资源池下的 Topic 和 Consumer Group 的管理权限,同时享有读写权限。
  • Project_OPS:项目运维人员。仅拥有项目下的资源池、Topic、Consumer Group 等资源的可读权限。
  • Project_Member:项目普通成员。仅拥有项目下的资源池、Topic、Consumer Group 等资源的可读权限。

项目隔离

仅支持主账号在项目控制台创建、在 BMQ 控制台导入项目。不同项目相互隔离,相互独立。
主账号拥有其下所有项目及项目资源的权限;项目负责人和项目成员只拥有当前项目的相关权限。

项目权限管控

权限模型采用 RBAC (Role Based Access Control)模型,即基于角色的权限访问控制。在访问者和资源之间引入了“角色(role)”概念,角色关联资源权限,访问者再通过关联角色实现间接授权。
主账号创建项目时可以指定项目负责人。
图片
项目权限管理有两种方式:一种是直接为用户关联系统预设角色;另一种是新建自定义角色,为自定义角色绑定某些资源和服务策略,然后再关联目标成员。
图片