應(yīng)用場景

企業(yè)A購買了云消息隊列 MQTT 版服務(wù)，企業(yè)A的員工需要操作這些服務(wù)所涉及的資源，例如實例、Topic或Group資源，比如有的負責(zé)創(chuàng)建資源，有的負責(zé)發(fā)布消息，還有的負責(zé)訂閱消息。由于每個員工的工作職責(zé)不一樣，需要的權(quán)限也不一樣。

此種場景下，A的云賬號可以將需要員工進行操作的資源進行細粒度的權(quán)限分隔。

操作步驟

1. 企業(yè)A云賬號創(chuàng)建RAM用戶。

   具體步驟參見創(chuàng)建RAM用戶。

2. （可選）企業(yè)A云賬號可根據(jù)需求為剛創(chuàng)建的RAM用戶創(chuàng)建自定義的策略。

   具體步驟參見創(chuàng)建自定義權(quán)限策略。

   目前，云消息隊列 MQTT 版支持實例、Topic和Group粒度的權(quán)限設(shè)置。詳情參見權(quán)限策略。

3. 企業(yè)A云賬號為RAM用戶授權(quán)。

   具體步驟參見為RAM用戶授權(quán)。

后續(xù)步驟

使用阿里云賬號創(chuàng)建好RAM用戶后，即可將RAM用戶的登錄名稱及密碼或者AccessKey信息分發(fā)給其他用戶。其他用戶可以按照以下步驟使用RAM用戶登錄控制臺或調(diào)用API。

• 登錄控制臺

  1. 在瀏覽器中打開RAM用戶登錄入口。

  2. 在RAM用戶登錄頁面上，輸入RAM用戶登錄名稱，單擊下一步，并輸入RAM用戶密碼，然后單擊登錄。

     說明

     RAM用戶登錄名稱的格式為<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為賬號別名，如果沒有設(shè)置賬號別名，則默認值為阿里云賬號的ID。

  3. 在子用戶的首頁，單擊有權(quán)限的產(chǎn)品，即可訪問控制臺。

     重要

     MQTT控制臺概覽頁面會展示您所有實例的信息元數(shù)據(jù)，子賬號需要配置相應(yīng)的權(quán)限（mq:MqttMetaData）才能訪問概覽頁面和首頁，否則會導(dǎo)致訪問概覽頁、控制臺首頁報錯。訪問概覽頁后，還需要配置相應(yīng)實例的權(quán)限（mq:ListMqttInstance），才能看到實例列表。

• 使用RAM用戶的AccessKey調(diào)用API

  在代碼中使用RAM用戶的AccessKey ID和AccessKey Secret即可。

更多信息

什么是訪問控制