Alih-alih membagikan pasangan AccessKey akun Alibaba Cloud Anda, buat pengguna Resource Access Management (RAM) dan berikan masing-masing hanya izin yang diperlukan. Pengguna RAM yang telah diberi otorisasi dapat mengelola resource ApsaraMQ for MQTT di Konsol serta mempublikasikan atau berlangganan pesan melalui SDK dan operasi API.
ApsaraMQ for MQTT tidak mendukung otorisasi lintas akun.
Kapan menggunakan pengguna RAM
Anggota tim yang berbeda biasanya memerlukan tingkat akses yang berbeda ke ApsaraMQ for MQTT:
| Peran | Izin umum |
|---|---|
| Administrator resource | Membuat dan mengelola instans, topik, dan grup |
| Publisher | Mengirim pesan ke topik tertentu |
| Subscriber | Mengonsumsi pesan dari topik tertentu |
RAM memungkinkan pemilik akun Alibaba Cloud untuk:
Membuat pengguna RAM terpisah untuk setiap anggota tim alih-alih membagikan pasangan AccessKey akun
Memberikan izin detail halus pada tingkat instans, topik, atau grup
Mencabut izin atau menghapus pengguna RAM kapan saja
Seluruh penggunaan resource oleh pengguna RAM akan ditagihkan ke akun Alibaba Cloud.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Akun Alibaba Cloud dengan ApsaraMQ for MQTT yang telah diaktifkan
Akses administratif ke Konsol RAM
Berikan izin kepada pengguna RAM
Alur kerja terdiri dari tiga langkah: buat pengguna RAM, (opsional) buat kebijakan kustom, lalu sambungkan kebijakan tersebut ke pengguna.
Buat pengguna RAM. Buat pengguna RAM untuk setiap anggota tim yang memerlukan akses ke ApsaraMQ for MQTT. Lihat Buat pengguna RAM.
(Opsional) Buat kebijakan kustom. Jika kebijakan sistem tidak memenuhi kebutuhan Anda, buat kebijakan kustom untuk menentukan akses detail halus ke instans, topik, atau grup tertentu. Lihat Buat kebijakan kustom. Untuk daftar lengkap aksi dan resource yang tersedia, lihat Kebijakan.
Sambungkan kebijakan ke pengguna RAM. Sambungkan kebijakan sistem atau kustom yang sesuai ke pengguna RAM. Lihat Berikan izin kepada pengguna RAM.
Izin akses Konsol
Laman Overview di Konsol ApsaraMQ for MQTT menampilkan metadata semua instans Anda. Untuk mengaksesnya, berikan pengguna RAM aksi berikut:
| Aksi | Diperlukan untuk |
|---|---|
mq:MqttMetaData | Melihat laman Overview dan beranda, yang menampilkan metadata instans |
mq:ListMqttInstance | Menampilkan daftar instans di laman Overview |
Anda hanya dapat menggunakan pengguna RAM untuk mengakses laman Overview dan beranda setelah pengguna RAM tersebut diberikan izin mq:MqttMetaData. Tanpa izin ini, kesalahan akan dikembalikan saat mengakses laman tersebut. Untuk melihat daftar instans, Anda juga harus memberikan izin mq:ListMqttInstance setelah mengakses laman Overview.
Akses ApsaraMQ for MQTT sebagai pengguna RAM
Setelah membuat pengguna RAM dan memberikan izin yang sesuai, bagikan kredensial logon (username dan password) atau pasangan AccessKey kepada anggota tim. Pengguna RAM dapat mengakses ApsaraMQ for MQTT melalui dua metode:
Log on ke Konsol
Buka laman RAM User Logon.
Masukkan nama logon pengguna RAM di bidang Username dan klik Next. Masukkan password dan klik Log On.
CatatanNama logon menggunakan format
<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com, di mana<$AccountAlias>adalah alias akun. Jika tidak ada alias yang ditetapkan, ID akun Alibaba Cloud akan digunakan sebagai gantinya.Di laman RAM User Center, klik layanan untuk mengakses konsolnya.
Panggil operasi API
Tentukan ID AccessKey dan Rahasia AccessKey pengguna RAM dalam kode Anda untuk mengautentikasi permintaan API.