tencent cloud

文档反馈

角色与授权

最后更新时间:2024-01-17 17:48:12

    名词解释

    RocketMQ 的“角色”是 RocketMQ 内专有的概念,区别于腾讯云的“角色”,是用户自行在 RocketMQ 内部做权限划分的最小单位,用户可以添加多个角色并为其赋予不同集群下的生产和消费权限。每种角色都有其对应的唯一密钥,用户可以通过在客户端中添加密钥来访问 RocketMQ 进行消息的生产消费。
    使用场景如下:
    用户需要安全地使用 RocketMQ 进行消息的生产消费。
    用户需要对不同的集群设置不同角色的生产消费权限。
    例如:一个公司有 A 部门和 B 部门,A 部门的系统产生交易数据,B 部门的系统根据这些交易数据做数据分析和展示。那么遵循权限最小化原则,可以配置两种角色,A 部门角色只授予往交易系统集群中生产消息的权限,B 部门则只授予消费消息的权限。这样可以很大程度避免由于权限不清带来的数据混乱、业务脏数据等问题。

    操作步骤

    添加角色并授权

    1. 登录 RocketMQ 控制台
    2. 在左侧导航栏选择集群列表,选择地域后,点击要配置角色的集群的“ ID ”,进入基本信息页面。
    3. 在页面上方选择集群权限页签,单击添加角色,输入角色名称,并配置好生产和消费权限。
    4. 单击保存,完成角色创建。
    

    检查权限是否生效

    1. 在集群权限列表复制角色密钥。
    
    注意:
    密钥泄露很可能导致您的数据泄露,请妥善保管您的密钥。
    2. 将复制的角色密钥添加到客户端的参数中。如何在客户端代码中添加密钥参数请参考 RocketMQ 的 代码示例
    以下给出一种推荐的方式。
    2.1 声明ACL_SECRET_KEYACL_SECRET_ACCESS两个字段,使用各类框架的话建议从配置文件中读取。
    private static final String ACL_ACCESS_KEY = "eyJr****";
    private static final String ACL_SECRET_KEY = "xxx"; /
    2.2 声明一个静态函数,用于载入一个 RocketMQ Client 的 RPCHook对象
    static RPCHook getAclRPCHook() {
    return new AclClientRPCHook(new SessionCredentials(ACL_ACCESS_KEY, ACL_SECRET_KEY));
    }
    2.3 在创建 RocketMQ producerpushConsumerpullConsumer的时候,引入 RPCHook对象 以下为创建一个 producer 的代码示例:
    DefaultMQProducer producer = new DefaultMQProducer("rocketmq-mw***|namespace", "ProducerGroupName", getAclRPCHo
    3. 运行配置好的客户端访问对应集群中的 Topic 资源,按照刚刚配置的权限进行生产或消费,看是否会产生没有权限的报错信息,如果没有即代表配置成功。

    编辑权限

    1. 在集群权限列表中,找到需要编辑权限的角色,单击操作列的编辑
    
    2. 在编辑的弹框中,修改权限信息后,单击保存
    

    删除权限

    注意:
    删除角色后,原先使用该角色进行生产或消费消息的密钥( AccessKey 和 SecretKey )将立即失效。请确保当前业务已经没有使用该角色进行消息的生产消费,否则可能会出现客户端无法生产消费而导致的异常。
    1. 在集群权限列表中,找到需要删除权限的角色,单击操作列的删除
    
    2. 在删除的弹框中,单击删除,即可删除该权限。
    
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持