Untuk mencegah risiko yang disebabkan oleh kebocoran pasangan AccessKey dari akun Alibaba Cloud, ApsaraMQ for MQTT memungkinkan Anda memberikan izin pada instance, topik, dan grup kepada pengguna Resource Access Management (RAM). Hanya pengguna RAM yang berwenang yang dapat mengelola sumber daya di konsol ApsaraMQ for MQTT, mempublikasikan serta berlangganan pesan menggunakan SDK, dan memanggil operasi API.
ApsaraMQ for MQTT tidak mendukung otorisasi lintas akun.
Skenario
Perusahaan A telah mengaktifkan ApsaraMQ for MQTT. Karyawan Perusahaan A perlu mengelola sumber daya ApsaraMQ for MQTT seperti instance, topik, dan grup. Setiap karyawan memiliki tugas yang berbeda. Sebagai contoh, beberapa karyawan perlu membuat sumber daya, beberapa perlu mempublikasikan pesan, dan lainnya perlu berlangganan pesan. Dalam hal ini, Perusahaan A perlu memberikan izin yang berbeda kepada para karyawan.
Berikut adalah deskripsi skenario:
Alasan keamanan, Perusahaan A tidak ingin mengungkapkan pasangan AccessKey dari akun Alibaba Cloud kepada karyawan. Sebagai gantinya, Perusahaan A ingin membuat pengguna RAM untuk karyawan dan memberikan izin yang berbeda kepada mereka.
Seorang karyawan hanya dapat mengelola sumber daya jika pengguna RAM yang digunakan oleh karyawan tersebut diberi izin yang diperlukan. Semua biaya pengguna RAM akan ditagihkan ke akun Alibaba Cloud milik Perusahaan A.
Perusahaan A dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus pengguna RAM kapan saja.
Dalam skenario ini, Perusahaan A dapat memberikan izin terperinci kepada karyawannya pada sumber daya menggunakan akun Alibaba Cloud.
Prosedur
Buat pengguna RAM menggunakan akun Alibaba Cloud Perusahaan A.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
(Opsional) Buat kebijakan kustom untuk pengguna RAM baru menggunakan akun Alibaba Cloud Perusahaan A.
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
ApsaraMQ for MQTT memungkinkan Anda memberikan izin pada instance, topik, dan grup kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Kebijakan.
Berikan izin kepada pengguna RAM menggunakan akun Alibaba Cloud Perusahaan A.
Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Apa yang harus dilakukan selanjutnya
Setelah Anda membuat pengguna RAM menggunakan akun Alibaba Cloud, Anda dapat membagikan nama logon dan kata sandi atau pasangan AccessKey dari pengguna RAM kepada pengguna lain. Pengguna tersebut dapat melakukan langkah-langkah berikut untuk masuk ke Konsol Manajemen Alibaba Cloud atau memanggil operasi API menggunakan pengguna RAM.
Masuk ke Konsol Manajemen Alibaba Cloud
Buka halaman Logon Pengguna RAM di browser Anda.
Di bidang Nama Pengguna halaman RAM User Logon, masukkan nama logon pengguna RAM dan klik Next. Pada halaman yang muncul, masukkan kata sandi. Lalu, klik Log On.
CatatanNama logon pengguna RAM dalam format
<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com.<$AccountAlias>menunjukkan alias akun. Jika tidak ada alias akun yang ditentukan, ID akun Alibaba Cloud digunakan.Di halaman Pusat Pengguna RAM, klik layanan tempat izin diberikan untuk mengakses konsol.
PentingHalaman Overview di konsol ApsaraMQ for MQTT menampilkan metadata dari semua instance Anda. Anda dapat menggunakan pengguna RAM untuk mengakses halaman Ringkasan dan halaman utama di konsol ApsaraMQ for MQTT hanya setelah pengguna RAM diberi izin yang diperlukan. Tindakan untuk izin tersebut adalah mq:MqttMetaData. Jika pengguna RAM tidak diberi izin yang diperlukan, kesalahan akan dikembalikan saat Anda mengakses halaman Ringkasan dan halaman utama. Untuk melihat daftar instance di konsol ApsaraMQ for MQTT, Anda harus memberikan izin yang diperlukan kepada pengguna RAM setelah Anda mengakses halaman Ringkasan menggunakan pengguna RAM. Tindakan untuk izin tersebut adalah mq:ListMqttInstance.
Gunakan pasangan AccessKey dari pengguna RAM untuk memanggil operasi API
Tentukan ID AccessKey dan rahasia AccessKey dari pengguna RAM dalam kode.