RAM主子賬號授權
云消息隊列 MQTT 版支持云賬號給RAM用戶授予Topic資源級別的權限,避免因暴露阿里云賬號密鑰造成的安全風險。僅限有權限的RAM用戶在云消息隊列 MQTT 版的控制臺上管理資源,以及通過SDK或API發布與訂閱消息。
云消息隊列 MQTT 版目前還不支持跨云賬號授權。
應用場景
企業A購買了云消息隊列 MQTT 版服務,企業A的員工需要操作這些服務所涉及的資源,例如實例、Topic或Group資源,比如有的負責創建資源,有的負責發布消息,還有的負責訂閱消息。由于每個員工的工作職責不一樣,需要的權限也不一樣。
具體場景說明如下:
出于安全或信任的考慮,企業A不希望將云賬號密鑰直接透露給員工,而希望能給員工創建相應的用戶賬號。
用戶賬號只能在授權的前提下操作資源,不需要對用戶賬號單獨計量計費,所有開銷都計入企業A云賬號名下。
企業A隨時可以撤銷用戶賬號的權限,也可以隨時刪除其創建的用戶賬號。
此種場景下,A的云賬號可以將需要員工進行操作的資源進行細粒度的權限分隔。
操作步驟
后續步驟
使用阿里云賬號創建好RAM用戶后,即可將RAM用戶的登錄名稱及密碼或者AccessKey信息分發給其他用戶。其他用戶可以按照以下步驟使用RAM用戶登錄控制臺或調用API。
登錄控制臺
在RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄。
說明RAM用戶登錄名稱的格式為
<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為賬號別名,如果沒有設置賬號別名,則默認值為阿里云賬號(主賬號)的ID。在子用戶的首頁,單擊有權限的產品,即可訪問控制臺。
使用RAM用戶的AccessKey調用API
在代碼中使用RAM用戶的AccessKey ID和AccessKey Secret即可。